Partager via


Informations de référence sur les journaux de diagnostic

Notes

cette fonctionnalité nécessite le plan Premium.

Cet article fournit une référence complète des événements et services de journal d’audit. La disponibilité de ces services dépend de la façon dont vous accédez aux journaux :

  • La table système du journal d’audit enregistre tous les événements et services répertoriés dans cet article.
  • Le service de paramètres de diagnostic d’Azure Monitor ne journalise pas tous ces services. Les services qui ne sont pas disponibles dans les paramètres de diagnostic d’Azure sont étiquetés en conséquence.

Remarque

Azure Databricks conserve une copie des journaux d’audit pendant un an au maximum à des fins de sécurité et d’analyse de la fraude.

Services de journal de diagnostic

Les services suivants et leurs événements sont consignés par défaut dans les journaux de diagnostic.

Remarque

Les désignations au niveau de l’espace de travail et au niveau du compte s’appliquent uniquement à la table système des journaux d’audit. Les journaux de diagnostic Azure n’incluent pas d’événements au niveau du compte.

Services au niveau de l’espace de travail

Nom du service Description
accounts Événements liés aux comptes, utilisateurs, groupes et listes d’accès IP.
clusters Événements liés aux clusters.
clusterPolicies Événements liés aux stratégies de cluster.
dashboards Événements liés à l’utilisation des tableaux de bord AI/BI.
databrickssql Événements liés à l'utilisation de Databricks SQL.
dataMonitoring Événements liés à la Lakehouse Monitoring.
dbfs Événements liés à DBFS.
deltaPipelines Événements liés aux Pipelines Delta Live Table.
featureStore Événements liés au Magasin de fonctionnalités Databricks.
filesystem Événements liés à la gestion des fichiers, qui incluent l’interaction avec les fichiers à l’aide de l’API Files ou de l’interface utilisateur des volumes.
génie Événements liés à l’accès à l’espace de travail par le personnel du support. Les espaces Génie d’IA/BI ne sont pas associés.
gitCredentials Événements liés aux informations d’identification Git pour les dossiers Git Databricks. Voir aussi repos.
globalInitScripts Événements liés aux scripts init globaux.
groups Événements liés aux groupes de compte et d’espace de travail.
iamRole Événements liés aux autorisations de rôle IAM.
ingestion Événements liés aux chargements de fichiers.
instancePools Événements liés aux pools.
jobs Événements liés aux travaux.
marketplaceConsumer Événements liés aux actions des consommateurs dans la Place de marché Databricks.
marketplaceProvider Événements liés aux actions du fournisseur dans la Place de marché Databricks.
mlflowAcledArtifact Événements liés aux artefacts ML Flow avec des listes de contrôle d’accès.
mlflowExperiment Événements liés aux expériences ML Flow.
modelRegistry Événements liés au registre de modèles.
notebook Événements liés aux notebooks.
partnerConnect Événements liés à Partner Connect.
predictiveOptimization Événements liés à l’optimisation prédictive.
remoteHistoryService Événements liés à l’ajout d’une suppression des informations d’identification GitHub.
repos Événements liés aux dossiers Git Databricks. Voir aussi gitCredentials.
secrets Événements liés aux secrets.
serverlessRealTimeInference Événements liés à la distribution de modèles.
sqlPermissions Événements liés au contrôle d’accès à une table de metastore Hive héritée.
ssh Événements liés à l’accès SSH.
vectorSearch Événements liés à la recherche vectorielle.
webTerminal Événements liés à la fonctionnalité de terminal web.
workspace Événements liés aux espaces de travail.

Services au niveau du compte

Les journaux d’audit au niveau du compte sont disponibles pour ces services :

Nom du service Description
accountBillableUsage Actions liées à l’accès à l’utilisation facturable dans la console de compte.
accountsAccessControl Actions liées aux règles de contrôle d’accès au niveau du compte.
accountsManager Actions liées aux configurations de connectivité réseau.
budgetPolicyCentral Actions liées à la gestion des stratégies budgétaires.
unityCatalog Actions effectuées dans le catalogue Unity. Cela inclut également les événements de partage Delta, consultez l’article sur les événements de partage Delta.

Services de surveillance de la sécurité supplémentaires

Il existe des services supplémentaires et des actions associées pour les espaces de travail qui utilisent le profil de sécurité de la conformité (requis pour certaines normes de conformité telles que FedRAMP, PCI et HIPAA) ou la surveillance de sécurité renforcée.

Il s’agit de services au niveau de l’espace de travail qui ne seront générés que dans vos journaux si vous utilisez le profil de sécurité de conformité ou le monitoring de sécurité renforcée :

Nom du service Description
capsule8-alerts-dataplane Actions liées à la surveillance de l’intégrité des fichiers.
clamAVScanService-dataplane Actions liées à la surveillance antivirus.

Exemple de schéma de journal de diagnostic

Dans Azure Databricks, les journaux de diagnostic produisent des événements au format JSON. Dans Azure Databricks, les journaux de diagnostic produisent des événements au format JSON. Les propriétés serviceName et actionName identifient l’événement. La convention de nommage suit l’API REST Databricks.

L’exemple JSON suivant illustre un événement journalisé lorsqu’un utilisateur a créé un travail :

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

Considérations relatives au schéma de journal de diagnostic

  • Si les actions prennent beaucoup de temps, la demande et la réponse sont journalisées séparément, mais la paire demande et réponse ont le même requestId.
  • Les actions automatisées, telles que le redimensionnement d’un cluster en raison de la mise à l’échelle automatique ou du lancement d’un travail en raison d’une planification, sont effectuées par l’utilisateur System-User.
  • Le champ requestParams est susceptible d’être tronqué. Si la taille de sa représentation JSON dépasse 100 Ko, les valeurs sont tronquées et la chaîne ... truncated est ajoutée aux entrées tronquées. Dans de rares cas où une carte tronquée est toujours supérieure à 100 Ko, une clé unique TRUNCATED avec une valeur vide est présente à la place.

Événements de compte

Les événements accounts suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
accounts activateUser Un utilisateur est réactivé après avoir été désactivé. Consultez Désactiver les utilisateurs dans l’espace de travail. - targetUserName
- endpoint
- targetUserId
accounts aadBrowserLogin Un utilisateur se connecte à Databricks à l’aide d’un workflow de navigateur Microsoft Entra ID. - user
accounts aadTokenLogin Un utilisateur se connecte à Databricks via le jeton Microsoft Entra ID. - user
accounts accountInHouseOAuthClientAuthentication Un client OAuth est authentifié. - endpoint
accounts activateUser L’administrateur ajoute un utilisateur au compte Databricks à partir du portail Azure. - warehouse
- targetUserName
- targetUserId
accounts add Un utilisateur est ajouté à un espace de travail Azure Databricks. - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup Un utilisateur est ajouté à un groupe au niveau de l’espace de travail. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts changeDatabricksSqlAcl Les autorisations Databricks SQL d’un utilisateur sont modifiées. - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDatabricksWorkspaceAcl Les autorisations d’un espace de travail sont modifiées. - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDbTokenAcl Quand les autorisations sur un jeton sont modifiées. - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeServicePrincipalAcls Quand les autorisations d’un principal de service sont modifiées. - shardName
- targetServicePrincipal
- resourceId
- aclPermissionSet
accounts createGroup Un groupe au niveau de l’espace de travail est créé. - endpoint
- targetGroupId
- targetGroupName
accounts createIpAccessList Une liste d’accès IP est ajoutée à l’espace de travail. - ipAccessListId
- userId
accounts deactivateUser Un utilisateur est désactivé dans l’espace de travail. Consultez Désactiver les utilisateurs dans l’espace de travail. - targetUserName
- endpoint
- targetUserId
accounts delete Un utilisateur est supprimé de l’espace de travail Azure Databricks. - targetUserId
- targetUserName
- endpoint
accounts deleteIpAccessList Une liste d’accès IP est supprimée de l’espace de travail. - ipAccessListId
- userId
accounts garbageCollectDbToken Un utilisateur exécute une commande « garbage collect » sur des jetons arrivés à expiration. - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken Quand quelqu’un génère un jeton à partir des paramètres utilisateur ou lorsque le service génère le jeton. - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts IpAccessDenied Un utilisateur tente de se connecter au service via une adresse IP refusée. - path
- userName
accounts ipAccessListQuotaExceeded - userId
accounts jwtLogin L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. - user
accounts login L’utilisateur se connecte à l’espace de travail. - user
accounts logout L’utilisateur se déconnecte de l’espace de travail. - user
accounts oidcTokenAuthorization Quand un appel d’API est autorisé via un jeton OIDC/OAuth générique. - user
accounts passwordVerifyAuthentication - user
accounts reachMaxQuotaDbToken Lorsque le nombre actuel de jetons non expirés dépasse le quota de jetons
accounts removeAdmin Un utilisateur est révoqué des autorisations d’administrateur de l’espace de travail. - targetUserName
- endpoint
- targetUserId
accounts removeGroup Un groupe est supprimé de l’espace de travail. - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup Un utilisateur est supprimé d’un groupe. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts revokeDbToken Le jeton d’un utilisateur est supprimé d’un espace de travail. Peut être déclenché par la suppression d’un utilisateur du compte Databricks. - userId
accounts setAdmin Un utilisateur se voit accorder des autorisations d’administrateur de compte. - endpoint
- targetUserName
- targetUserId
accounts tokenLogin L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. - tokenId
- user
accounts updateIpAccessList Une liste d’accès IP est modifiée. - ipAccessListId
- userId
accounts updateUser Une modification est apportée au compte de l’utilisateur. - warehouse
- targetUserName
- targetUserId
accounts validateEmail Lorsqu’un utilisateur valide son e-mail après la création du compte. - endpoint
- targetUserName
- targetUserId

Événements de clusters

Les événements cluster suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
clusters changeClusterAcl Un utilisateur modifie la liste de contrôle d'accès du cluster. - shardName
- aclPermissionSet
- targetUserId
- resourceId
clusters create Un utilisateur crée un cluster. - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters createResult Résultats de la création du cluster. Conjointement avec create. - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters delete Un cluster est arrêté. - cluster_id
clusters deleteResult Résultats de l’arrêt du cluster. Conjointement avec delete. - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters edit Un utilisateur apporte des modifications aux paramètres du cluster. Cette opération consigne toutes les modifications, à l’exception de la modification de la taille du cluster ou du comportement de mise à l’échelle automatique. - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters permanentDelete Un cluster est supprimé de l’interface utilisateur. - cluster_id
clusters resize Redimensionnements de cluster. Il s’agit d’une connexion sur des clusters en cours d’exécution, où la seule propriété qui change est la taille du cluster ou le comportement de mise à l’échelle automatique. - cluster_id
- num_workers
- autoscale
clusters resizeResult Résultats du redimensionnement du cluster. Conjointement avec resize. - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters restart Un utilisateur redémarre un cluster en cours d’exécution. - cluster_id
clusters restartResult Résultats du redémarrage du cluster. Conjointement avec restart. - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters start Un utilisateur démarre un cluster. - init_scripts_safe_mode
- cluster_id
clusters startResult Résultats du redimensionnement du cluster. Conjointement avec start. - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId

Événements de bibliothèques de cluster

Les événements clusterLibraries suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
clusterLibraries installLibraries L’utilisateur installe une bibliothèque sur un cluster. - cluster_id
- libraries
clusterLibraries uninstallLibraries L’utilisateur désinstalle une librairie sur un cluster. - cluster_id
- libraries
clusterLibraries installLibraryOnAllClusters Un administrateur d’espace de travail planifie l’installation d’une bibliothèque sur tout le cluster. - user
- library
clusterLibraries uninstallLibraryOnAllClusters Un administrateur d’espace de travail supprime une bibliothèque de la liste à installer sur tous les clusters. - user
- library

Événements de stratégie de cluster

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements clusterPolicies suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
clusterPolicies create Un utilisateur a créé une stratégie de cluster. - name
clusterPolicies edit Un utilisateur a modifié une stratégie de cluster. - policy_id
- name
clusterPolicies delete Un utilisateur a supprimé une stratégie de cluster. - policy_id
clusterPolicies changeClusterPolicyAcl Un administrateur d’espace de travail modifie les autorisations d’une stratégie de cluster. - shardName
- targetUserId
- resourceId
- aclPermissionSet

Événements de tableaux de bord

Les événements dashboards suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
dashboards getDashboard Un utilisateur accède à la version brouillon d’un tableau de bord en l’affichant dans l’interface utilisateur ou en demandant la définition du tableau de bord à l’aide de l’API. Seuls les utilisateurs de l’espace de travail peuvent accéder à la version brouillon d’un tableau de bord. - dashboard_id
dashboards getPublishedDashboard Un utilisateur accède à la version publiée d’un tableau de bord en consultant l’interface utilisateur ou en demandant la définition du tableau de bord à l’aide de l’API. Inclut les activités des utilisateurs de l’espace de travail et des utilisateurs de compte. Exclut la réception d’un instantané PDF d’un tableau de bord à l’aide d’un e-mail planifié. - dashboard_id
- credentials_embedded
dashboards executeQuery Un utilisateur exécute une requête à partir d’un tableau de bord. - dashboard_id
- statement_id
dashboards cancelQuery Un utilisateur annule une requête à partir d’un tableau de bord. - dashboard_id
- statement_id
dashboards getQueryResult Un utilisateur reçoit les résultats d’une requête à partir d’un tableau de bord. - dashboard_id
- statement_id
dashboards sendDashboardSnapshot Un instantané PDF d’un tableau de bord est envoyé via un e-mail programmé.

Les valeurs des paramètres de requête dépendent du type de destinataire. Pour une destination de notification Databricks, seule la valeur destination_id est affichée. Pour un utilisateur Databricks, l’ID d’utilisateur et l’adresse e-mail de l’abonné sont affichés. Si le destinataire est une adresse e-mail, seule l’adresse e-mail est affichée.
- dashboard_id
- subscriber_destination_id
- subscriber_user_details: {

user_id,

email_address }
dashboards getDashboardDetails Un utilisateur accède aux détails d’un tableau de bord brouillon, comme les jeux de données et les widgets. getDashboardDetails est toujours émis lorsqu’un utilisateur affiche un tableau de bord brouillon à l’aide de l’interface utilisateur ou demande la définition du tableau de bord à l’aide de l’API. - dashboard_id
dashboards createDashboard Un utilisateur crée un tableau de bord AI/BI à l’aide de l’interface utilisateur ou de l’API. - dashboard_id
dashboards updateDashboard Un utilisateur effectue la mise à jour d’un tableau de bord AI/BI à l’aide de l’interface utilisateur ou de l’API. - dashboard_id
dashboards cloneDashboard Un utilisateur clone un tableau de bord AI/BI. - source_dashboard_id
- new_dashboard_id
dashboards publishDashboard Un utilisateur publie un tableau de bord AI/BI avec ou sans informations d’identification incorporées à l’aide de l’interface utilisateur ou de l’API. - dashboard_id
- credentials_embedded
- warehouse_id
dashboards unpublishDashboard Un utilisateur annule la publication d’un tableau de bord AI/BI publié à l’aide de l’interface utilisateur ou de l’API. - dashboard_id
dashboards trashDashboard Un utilisateur déplace un tableau de bord AI/BI vers la Corbeille à l’aide de l’interface utilisateur ou de l’API. - dashboard_id
dashboards restoreDashboard Un utilisateur restaure un tableau de bord AI/BI à partir de la Corbeille. - dashboard_id
dashboards migrateDashboard Un utilisateur migre un tableau de bord DBSQL vers un tableau de bord AI/BI. - source_dashboard_id
- new_dashboard_id
dashboards createSchedule Un utilisateur crée une planification d’abonnement par e-mail. - dashboard_id
- schedule_id
dashboards updateSchedule Un utilisateur effectue la mise à jour de la planification d’un tableau de bord AI/BI. - dashboard_id
- schedule_id
dashboards deleteSchedule Un utilisateur supprime la planification d’un tableau de bord AI/BI. - dashboard_id
- schedule_id
dashboards createSubscription Un utilisateur abonne une destination e-mail à une planification de tableau de bord AI/BI. - dashboard_id
- schedule_id
- schedule
dashboards deleteSubscription Un utilisateur supprime une destination e-mail d’une planification de tableau de bord AI/BI. - dashboard_id
- schedule_id

Événements Databricks SQL

Les événements databrickssql suivants sont enregistrés au niveau de l’espace de travail.

Remarque

Si vous gérez vos entrepôts SQL à l’aide de l’API de points de terminaison SQL héritée, vos événements d’audit d’entrepôt SQL auront des noms d’actions différents. Consultez Journaux de point de terminaison SQL.

Service Action Description Paramètres de la demande
databrickssql addDashboardWidget Un widget est ajouté à un tableau de bord. - dashboardId
- widgetId
databrickssql cancelQueryExecution Une exécution de requête est annulée à partir de l’interface utilisateur de l’éditeur SQL. Cela n’inclut pas les annulations provenant de l’interface utilisateur Historique des requêtes ou de l’API Exécution SQL Databricks. - queryExecutionId
databrickssql changeWarehouseAcls Un responsable d’entrepôt met à jour les autorisations sur un entrepôt SQL. - aclPermissionSet
- resourceId
- shardName
- targetUserId
databrickssql changePermissions Un utilisateur met à jour les autorisations sur un objet. - granteeAndPermission
- objectId
- objectType
databrickssql cloneDashboard Un utilisateur clone un tableau de bord. - dashboardId
databrickssql commandSubmit Uniquement dans les journaux d’audit détaillés. Généré lorsqu’une commande est envoyée à un entrepôt SQL, quelle que soit l’origine de la requête. - warehouseId
- commandId
- validation
- commandText
databrickssql commandFinish Uniquement dans les journaux d’audit détaillés. Généré lorsqu’une commande sur un entrepôt SQL se termine ou est annulée, quelle que soit l’origine de la demande d’annulation. - warehouseId
- commandId
databrickssql createAlert Un utilisateur crée une alerte. - alertId
databrickssql createNotificationDestination Un administrateur d’espace de travail crée une destination de notification. - notificationDestinationId
- notificationDestinationType
databrickssql createDashboard Un utilisateur crée un tableau de bord. - dashboardId
databrickssql createDataPreviewDashboard Un utilisateur crée un tableau de bord d’aperçu des données. - dashboardId
databrickssql createWarehouse Un utilisateur disposant du droit de création de cluster crée un entrepôt SQL. - auto_resume
- auto_stop_mins
- channel
- cluster_size
- conf_pairs
- custom_cluster_confs
- enable_databricks_compute
- enable_photon
- enable_serverless_compute
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- size
- spot_instance_policy
- tags
- test_overrides
databrickssql createQuery Un utilisateur crée une requête. - queryId
databrickssql createQueryDraft Un utilisateur crée un brouillon de requête. - queryId
databrickssql createQuerySnippet Un utilisateur crée un extrait de requête. - querySnippetId
databrickssql createSampleDashboard Un utilisateur crée un exemple de tableau de bord. - sampleDashboardId
databrickssql createVisualization Un utilisateur génère une visualisation à l’aide de l’éditeur SQL. Exclut les tables et visualisations de résultats par défaut dans les notebooks qui utilisent des entrepôts SQL. - queryId
- visualizationId
databrickssql deleteAlert Un utilisateur supprime une alerte de l’interface d’alerte ou au moyen d’une API. Exclut les suppressions de l’interface utilisateur de l’explorateur de fichiers. - alertId
databrickssql deleteNotificationDestination Un administrateur d’espace de travail crée une destination de notification. - notificationDestinationId
databrickssql deleteDashboard Un utilisateur supprime un tableau de bord de l’interface de tableau de bord ou au moyen d’une API. Exclut les suppressions au moyen de l’interface utilisateur de l’explorateur de fichiers. - dashboardId
databrickssql deleteDashboardWidget Un utilisateur supprime un widget de tableau de bord. - widgetId
databrickssql deleteWarehouse Un responsable d’entrepôt supprime un entrepôt SQL. - id
databrickssql deleteQuery Un utilisateur supprime une requête de l’interface de requête ou au moyen d’une API. Exclut les suppressions au moyen de l’interface utilisateur de l’explorateur de fichiers. - queryId
databrickssql deleteQueryDraft Un utilisateur supprime un brouillon de requête. - queryId
databrickssql deleteQuerySnippet Un utilisateur supprime un extrait de requête. - querySnippetId
databrickssql deleteVisualization Un utilisateur supprime une visualisation d’une requête dans l’éditeur SQL. - visualizationId
databrickssql downloadQueryResult Un utilisateur télécharge un résultat de requête à partir de l’éditeur SQL. Exclut les téléchargements à partir de tableaux de bord. - fileType
- queryId
- queryResultId
- credentialsEmbedded
- credentialsEmbeddedId
databrickssql editWarehouse Un responsable d’entrepôt apporte des modifications à un entrepôt SQL. - auto_stop_mins
- channel
- cluster_size
- confs
- enable_photon
- enable_serverless_compute
- id
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- spot_instance_policy
- tags
databrickssql executeAdhocQuery Généré par l’une des actions suivantes :

- Un utilisateur exécute un brouillon de requête dans l’éditeur SQL
- Une requête est exécutée à partir d’une agrégation de visualisation
- Un utilisateur charge un tableau de bord et exécute des requêtes sous-jacentes
- dataSourceId
databrickssql executeSavedQuery Un utilisateur exécute une requête enregistrée. - queryId
databrickssql executeWidgetQuery Généré par un événement qui exécute une requête de sorte qu’un panneau de tableau de bord s’actualise. Voici quelques exemples d’événements applicables :

- Actualisation d’un seul panneau
- Actualisation d’un tableau de bord entier
- Exécutions de tableau de bord planifiées
- Modifications de paramètres ou de filtres sur plus de 64 000 lignes
- widgetId
databrickssql favoriteDashboard Un utilisateur ajoute un tableau de bord à ses favoris. - dashboardId
databrickssql favoriteQuery Un utilisateur ajoute une requête à ses favoris. - queryId
databrickssql forkQuery Un utilisateur clone une requête. - originalQueryId
- queryId
databrickssql listQueries Un utilisateur ouvre la page de liste des requêtes ou appelle l’API de requête de liste. - filter_by
- include_metrics
- max_results
- page_token
databrickssql moveAlertToTrash Un utilisateur déplace une alerte vers la corbeille. - alertId
databrickssql moveDashboardToTrash Un utilisateur déplace un tableau de bord vers la corbeille. - dashboardId
databrickssql moveQueryToTrash Un utilisateur déplace une requête vers la corbeille. - queryId
databrickssql restoreAlert Un utilisateur restaure une alerte à partir de la corbeille. - alertId
databrickssql restoreDashboard Un utilisateur restaure un tableau de bord à partir de la corbeille. - dashboardId
databrickssql restoreQuery Un utilisateur restaure une requête à partir de la corbeille. - queryId
databrickssql setWarehouseConfig Un responsable d’entrepôt définit la configuration d’un entrepôt SQL. - data_access_config
- enable_serverless_compute
- instance_profile_arn
- security_policy
- serverless_agreement
- sql_configuration_parameters
- try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard Un utilisateur demande une capture instantanée d’un tableau de bord. Inclut des instantanés de tableau de bord planifiés. - dashboardId
databrickssql startWarehouse Un entrepôt SQL est démarré. - id
databrickssql stopWarehouse Un responsable d’entrepôt arrête un entrepôt SQL. Exclut les entrepôts arrêtés automatiquement. - id
databrickssql transferObjectOwnership Un administrateur d’espace de travail transfère la propriété d’un tableau de bord, d’une requête ou d’une alerte vers un utilisateur actif via l’API de transfert de propriété d’objet. Le transfert de propriété effectué via l’interface utilisateur ou les API de mise à jour n’est pas capturé par cet événement de journal d’audit. - newOwner
- objectId
- objectType
databrickssql unfavoriteDashboard Un utilisateur supprime un tableau de bord de ses favoris. - dashboardId
databrickssql unfavoriteQuery Un utilisateur supprime une requête de ses favoris. - queryId
databrickssql updateAlert Un utilisateur effectue des mises à jour d’une alerte. ownerUserName est renseigné si la propriété de l’alerte est transférée à l’aide de l’API. - alertId
- queryId
- ownerUserName
databrickssql updateNotificationDestination Un administrateur d’espace de travail effectue la mise à jour d’une destination de notification. - notificationDestinationId
databrickssql updateDashboardWidget Un utilisateur effectue une mise à jour d’un widget de tableau de bord. Exclut les modifications apportées aux échelles d’axe. Voici quelques exemples des mises à jour applicables :

- Passage à la taille ou au placement de widget
- Ajout ou suppression de paramètres de widget
- widgetId
databrickssql updateDashboard Un utilisateur effectue une mise à jour d’une propriété de tableau de bord. Exclut les modifications apportées aux planifications et aux abonnements. Voici quelques exemples des mises à jour applicables :

- Modification du nom du tableau de bord
- Modification de l’entrepôt SQL
- Modification des paramètres d’identification
- dashboardId
databrickssql updateOrganizationSetting Un administrateur d’espace de travail met à jour les paramètres SQL d’un espace de travail. - has_configured_data_access
- has_explored_sql_warehouses
- has_granted_permissions
databrickssql updateQuery Un utilisateur effectue une mise à jour de requête. ownerUserName est renseigné si la propriété de la requête est transférée à l’aide de l’API. - queryId
- ownerUserName
databrickssql updateQueryDraft Un utilisateur effectue une mise à jour d’un brouillon de requête. - queryId
databrickssql updateQuerySnippet Un utilisateur effectue une mise à jour d’un extrait de requête. - querySnippetId
databrickssql updateVisualization Un utilisateur met à jour une visualisation à partir de l’éditeur SQL ou du tableau de bord. - visualizationId

Événements de supervision des données

Les événements dataMonitoring suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
dataMonitoring CreateMonitor L’utilisateur crée un moniteur. - data_classification_config
- full_table_name_arg
- assets_dir
- schedule
- output_schema_name
- notifications
- inference_log
dataMonitoring UpdateMonitor Un utilisateur effectue la mise à jour d’un moniteur. - data_classification_config
- table_name
- full_table_name_arg
- drift_metrics_table_name
- dashboard_id
- custom_metrics
- assets_dir
- monitor_version
- profile_metrics_table_name
- baseline_table_name
- status
- output_schema_name
- inference_log
- slicing_exprs
dataMonitoring DeleteMonitor Un utilisateur supprime un moniteur. - full_table_name_arg
dataMonitoring RunRefresh Un moniteur est actualisé, soit par planification, soit manuellement. - full_table_name_arg

Événements DBFS

Les tableaux suivants incluent les événements dbfs enregistrés au niveau de l’espace de travail.

Il existe deux types d’événements DBFS : les appels d’API et les événements opérationnels.

Événements de l’API DBFS

Les événements d’audit DBFS suivants sont enregistrés uniquement lorsqu’ils sont écrits via l’API REST DBFS.

Service Action Description Paramètres de la demande
dbfs addBlock L’utilisateur ajoute un bloc de données au flux. Il est utilisé conjointement avec dbfs/create pour diffuser des données vers DBFS. - handle
- data_length
dbfs create L’utilisateur ouvre un flux pour écrire un fichier dans le système DBFS. - path
- bufferSize
- overwrite
dbfs delete L’utilisateur supprime le fichier ou le répertoire du système DBFS. - recursive
- path
dbfs mkdirs L’utilisateur crée un répertoire DBFS. - path
dbfs move Déplace un fichier d’un emplacement à un autre au sein du système DBFS. - dst
- source_path
- src
- destination_path
dbfs put L’utilisateur charge un fichier à l’aide de la publication de formulaire en plusieurs parties dans le système DBFS. - path
- overwrite

Événements opérationnels DBFS

Les événements d’audit DBFS suivants se produisent au niveau du plan de calcul.

Service Action Description Paramètres de la demande
dbfs mount L’utilisateur crée un point de montage à un emplacement DBFS spécifique. - mountPoint
- owner
dbfs unmount L’utilisateur supprime un point de montage à un emplacement DBFS spécifique. - mountPoint

Événements delta pipelines

Service Action Description Paramètres de la demande
deltaPipelines changePipelineAcls Un utilisateur modifie les autorisations sur un pipeline. - shardId
- targetUserId
- resourceId
- aclPermissionSet
deltaPipelines create Un utilisateur crée un pipeline Delta Live Tables. - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- dry_run
- id
- libraries
- name
- storage
- target
- channel
- edition
- photon
deltaPipelines delete Un utilisateur supprime un pipeline Delta Live Tables. - pipeline_id
deltaPipelines edit Un utilisateur modifie un pipeline Delta Live Tables. - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- expected_last_modified
- id
- libraries
- name
- pipeline_id
- storage
- target
- channel
- edition
- photon
deltaPipelines startUpdate Un utilisateur redémarre un pipeline Delta Live Tables. - cause
- full_refresh
- job_task
- pipeline_id
deltaPipelines stop Un utilisateur arrête un pipeline Delta Live Tables. - pipeline_id

Événements du magasin de fonctionnalités

Les événements featureStore suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
featureStore addConsumer Un consommateur est ajouté au magasin de caractéristiques. - features
- job_run
- notebook
featureStore addDataSources Une source de données est ajoutée à une table de caractéristiques. - feature_table
- paths, tables
featureStore addProducer Un producteur est ajouté à une table de caractéristiques. - feature_table
- job_run
- notebook
featureStore changeFeatureTableAcl Les autorisations sont modifiées dans une table de caractéristiques. - aclPermissionSet
- resourceId
- shardName
- targetUserId
featureStore createFeatureTable Une table de caractéristiques est créée. - description
- name
- partition_keys
- primary_keys
- timestamp_keys
featureStore createFeatures Des caractéristiques sont créées dans une table de caractéristiques. - feature_table
- features
featureStore deleteFeatureTable Une table de caractéristiques est supprimée. - name
featureStore deleteTags Les balises sont supprimées d’une table de caractéristiques. - feature_table_id
- keys
featureStore getConsumers Un utilisateur effectue un appel pour obtenir les consommateurs dans une table de caractéristiques. - feature_table
featureStore getFeatureTable Un utilisateur effectue un appel pour obtenir des tables de caractéristiques. - name
featureStore getFeatureTablesById Un utilisateur effectue un appel pour obtenir des ID de tables de caractéristiques. - ids
featureStore getFeatures Un utilisateur effectue un appel pour obtenir des caractéristiques. - feature_table
- max_results
featureStore getModelServingMetadata Un utilisateur effectue un appel pour obtenir les métadonnées de mise en service de modèles. - feature_table_features
featureStore getOnlineStore Un utilisateur effectue un appel pour obtenir les détails d’un magasin en ligne. - cloud
- feature_table
- online_table
- store_type
featureStore getTags Un utilisateur effectue un appel pour obtenir les balises d’une table de caractéristiques. - feature_table_id
featureStore publishFeatureTable Une table de caractéristiques est publiée. - cloud
- feature_table
- host
- online_table
- port
- read_secret_prefix
- store_type
- write_secret_prefix
featureStore searchFeatureTables Un utilisateur recherche des tables de caractéristiques. - max_results
- page_token
- text
featureStore setTags Des balises sont ajoutées à une table de caractéristiques. - feature_table_id
- tags
featureStore updateFeatureTable Une table de caractéristiques est supprimée. - description
- name

Événements de fichiers

Les événements filesystem suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
filesystem filesGet L’utilisateur télécharge un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. - path
- transferredSize
filesystem filesPut L’utilisateur charge un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. - path
- receivedSize
filesystem filesDelete L’utilisateur supprime un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. - path
filesystem filesHead L’utilisateur obtient des informations sur un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. - path

Événements Génie

Les événements genie suivants sont enregistrés au niveau de l’espace de travail.

Remarque

Ce service n’est pas lié aux espaces AI/BI Genie.

Service Action Description Paramètres de la demande
genie databricksAccess Un membre du personnel de Databricks est autorisé à accéder à un environnement client. - duration
- approver
- reason
- authType
- user

Événements d’informations d’identification Git

Les événements gitCredentials suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
gitCredentials getGitCredential Un utilisateur obtient des informations d’identification Git. - id
gitCredentials listGitCredentials Un utilisateur répertorie toutes les informations d’identification Git Aucune
gitCredentials deleteGitCredential Un utilisateur supprime des informations d’identification Git. - id
gitCredentials updateGitCredential Un utilisateur met à jour des informations d’identification Git. - id
- git_provider
- git_username
gitCredentials createGitCredential Un utilisateur crée des informations d’identification Git. - git_provider
- git_username

Événements globaux liés aux scripts d’initialisation

Les événements globalInitScripts suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
globalInitScripts create Un administrateur d’espace de travail crée un script d’initialisation global. - name
- position
- script-SHA256
- enabled
globalInitScripts update Un administrateur d’espace de travail met à jour un script d’initialisation global. - script_id
- name
- position
- script-SHA256
- enabled
globalInitScripts delete Un administrateur d’espace de travail supprime un script d’initialisation global. - script_id

Événements de groupes

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements groups suivants sont enregistrés au niveau de l’espace de travail. Ces actions sont liées aux groupes de liste de contrôle d’accès hérités. Pour connaître les actions liées aux groupes au niveau du compte et de l’espace de travail, consultez événements de compte et événements de compte au niveau du compte.

Service Action Description Paramètres de la demande
groups addPrincipalToGroup Un administrateur ajoute un utilisateur à un groupe. - user_name
- parent_name
groups createGroup Un administrateur crée un groupe. - group_name
groups getGroupMembers Un administrateur affiche les membres d’un groupe. - group_name
groups getGroups Un administrateur affiche une liste de groupes aucune
groups getInheritedGroups Un administrateur affiche les groupes hérités Aucune
groups removeGroup Un administrateur supprime un groupe. - group_name

Événements liés aux rôles IAM

L’événement iamRole suivant est enregistré au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
iamRole changeIamRoleAcl Un administrateur d’espace de travail modifie les autorisations d’un rôle IAM. - targetUserId
- shardName
- resourceId
- aclPermissionSet

Événements d’ingestion

L’événement ingestion suivant est enregistré au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
ingestion proxyFileUpload Un utilisateur charge un fichier dans son espace de travail Azure Databricks. - x-databricks-content-length-0
- x-databricks-total-files

Événements de pool d’instances

Les événements instancePools suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
instancePools changeInstancePoolAcl Un utilisateur modifie les autorisations d’un pool d’instance. - shardName
- resourceId
- targetUserId
- aclPermissionSet
instancePools create Un utilisateur crée un pool d’instances. - enable_elastic_disk
- preloaded_spark_versions
- idle_instance_autotermination_minutes
- instance_pool_name
- node_type_id
- custom_tags
- max_capacity
- min_idle_instances
- aws_attributes
instancePools delete Un utilisateur supprime un pool d’instances. - instance_pool_id
instancePools edit Un utilisateur modifie un pool d’instances. - instance_pool_name
- idle_instance_autotermination_minutes
- min_idle_instances
- preloaded_spark_versions
- max_capacity
- enable_elastic_disk
- node_type_id
- instance_pool_id
- aws_attributes

Événements de travail

Les événements jobs suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
jobs cancel Une exécution de travail est annulée. - run_id
jobs cancelAllRuns Un utilisateur annule toutes les exécutions sur un travail. - job_id
jobs changeJobAcl Un utilisateur met à jour les autorisations sur un travail. - shardName
- aclPermissionSet
- resourceId
- targetUserId
jobs create Un utilisateur crée un travail. - spark_jar_task
- email_notifications
- notebook_task
- spark_submit_task
- timeout_seconds
- libraries
- name
- spark_python_task
- job_type
- new_cluster
- existing_cluster_id
- max_retries
- schedule
- run_as
jobs delete Un utilisateur supprime un travail. - job_id
jobs deleteRun Un utilisateur supprime une exécution de travail. - run_id
jobs getRunOutput Un utilisateur effectue un appel d’API pour obtenir une sortie d’exécution. - run_id
- is_from_webapp
jobs repairRun Un utilisateur répare une exécution de travail. - run_id
- latest_repair_id
- rerun_tasks
jobs reset Un travail est réinitialisé. - job_id
- new_settings
jobs resetJobAcl Un utilisateur demande la modification des autorisations d’un travail. - grants
- job_id
jobs runCommand Disponible lorsque les journaux d’audit détaillés sont activés. Émis après l’exécution d’une commande dans un notebook. Une commande correspond à une cellule dans un notebook. - jobId
- runId
- notebookId
- executionTime
- status
- commandId
- commandText
jobs runFailed L’exécution d’un travail échoue. - jobClusterType
- jobTriggerType
- jobId
- jobTaskType
- runId
- jobTerminalState
- idInJob
- orgId
- runCreatorUserName
jobs runNow Un utilisateur déclenche une exécution de travail à la demande. - notebook_params
- job_id
- jar_params
- workflow_context
jobs runStart Émis lorsqu’une exécution de travail démarre après la validation et la création du cluster. Les paramètres de requête émis par cet événement dépendent du type de tâches dans le travail. Les paramètres répertoriés peuvent également inclure :

- dashboardId (pour une tâche de tableau de bord SQL)
- filePath (pour une tâche de fichier SQL)
- notebookPath (pour une tâche de notebook)
- mainClassName (pour une tâche Spark JAR)
- pythonFile (pour une tâche Spark JAR)
- projectDirectory (pour une tâche dbt)
- commands (pour une tâche dbt)
- packageName (pour une tâche Python avec fichier Wheel)
- entryPoint (pour une tâche Python avec fichier Wheel)
- pipelineId (pour une tâche de pipeline)
- queryIds (pour une tâche de requête SQL)
- alertId (pour une tâche d’alerte SQL)
- taskDependencies
- multitaskParentRunId
- orgId
- idInJob
- jobId
- jobTerminalState
- taskKey
- jobTriggerType
- jobTaskType
- runId
- runCreatorUserName
jobs runSucceeded Une exécution de travail réussit. - idInJob
- jobId
- jobTriggerType
- orgId
- runId
- jobClusterType
- jobTaskType
- jobTerminalState
- runCreatorUserName
jobs runTriggered Une planification de travail est déclenchée automatiquement en fonction de sa planification ou de son déclencheur. - jobId
- jobTriggeredType
- runId
jobs sendRunWebhook Un webhook est envoyé lorsque le travail commence, se termine ou échoue. - orgId
- jobId
- jobWebhookId
- jobWebhookEvent
- runId
jobs setTaskValue Un utilisateur définit des valeurs pour une tâche. - run_id
- key
jobs submitRun Un utilisateur envoie une exécution ponctuelle via l’API. - shell_command_task
- run_name
- spark_python_task
- existing_cluster_id
- notebook_task
- timeout_seconds
- libraries
- new_cluster
- spark_jar_task
jobs update Un utilisateur modifie les paramètres d’un travail. - job_id
- fields_to_remove
- new_settings
- is_from_dlt

Marché des événements de consommation

Les événements marketplaceConsumer suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
marketplaceConsumer getDataProduct Un utilisateur obtient l’accès à un produit de données via Databricks Marketplace. - listing_id
- listing_name
- share_name
- catalog_name
- request_context : tableau d’informations sur le compte et le metastore qui ont eu accès au produit de données
marketplaceConsumer requestDataProduct Un utilisateur demande l’accès à un produit de données qui nécessite l’approbation du fournisseur. - listing_id
- listing_name
- catalog_name
- request_context : tableau d’informations sur le compte et le metastore qui demandent accès au produit de données

Événements du fournisseur de la Place de marché

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements marketplaceProvider suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
marketplaceProvider createListing Un administrateur de metastore crée une liste dans son profil de fournisseur. - listing : tableau de détails sur la description
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider updateListing Un administrateur de metastore effectue une mise à jour d’une description dans son profil de fournisseur. - id
- listing : tableau de détails sur la description
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider deleteListing Un administrateur de metastore supprime une liste dans son profil de fournisseur. - id
- request_context : tableau de détails sur le compte et le metastore du fournisseur
marketplaceProvider updateConsumerRequestStatus Un administrateur de metastore approuve ou refuse une demande de produit de données. - listing_id
- request_id
- status
- reason
- share : tableau d’informations sur le partage
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider createProviderProfile Un administrateur de metastore crée un profil de fournisseur. - provider : tableau d’informations sur le fournisseur
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider updateProviderProfile Un administrateur de metastore effectue une mise à jour dans son profil de fournisseur. - id
- provider : tableau d’informations sur le fournisseur
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider deleteProviderProfile Un administrateur de metastore supprime son profil de fournisseur. - id
- request_context : tableau d’informations sur le compte et le metastore du fournisseur
marketplaceProvider uploadFile Un fournisseur charge un fichier dans son profil de fournisseur. - request_context : tableau d’informations sur le compte et le metastore du fournisseur
- marketplace_file_type
- display_name
- mime_type
- file_parent : Tableau des détails du parent de fichier
marketplaceProvider deleteFile Un fournisseur supprime un fichier de son profil de fournisseur. - file_id
- request_context : tableau d’informations sur le compte et le metastore du fournisseur

Artefacts MLflow avec événements ACL

Les événements mlflowAcledArtifact suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
mlflowAcledArtifact readArtifact Un utilisateur effectue un appel pour lire un artefact. - artifactLocation
- experimentId
- runId
mlflowAcledArtifact writeArtifact Un utilisateur effectue un appel pour écrire dans un artefact. - artifactLocation
- experimentId
- runId

Événements d’expérience MLflow

Les événements mlflowExperiment suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
mlflowExperiment createMlflowExperiment Un utilisateur crée une expérience MLflow. - experimentId
- path
- experimentName
mlflowExperiment deleteMlflowExperiment Un utilisateur supprime une expérience MLflow. - experimentId
- path
- experimentName
mlflowExperiment moveMlflowExperiment Un utilisateur déplace une expérience MLflow. - newPath
- experimentId
- oldPath
mlflowExperiment restoreMlflowExperiment Un utilisateur restaure une expérience MLflow. - experimentId
- path
- experimentName
mlflowExperiment renameMlflowExperiment Un utilisateur renomme une expérience MLflow. - oldName
- newName
- experimentId
- parentPath

Événements de registre de modèles MLflow

Les événements mlflowModelRegistry suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
modelRegistry approveTransitionRequest Un utilisateur approuve une demande de transition de phase pour une version de modèle. - name
- version
- stage
- archive_existing_versions
modelRegistry changeRegisteredModelAcl Un utilisateur met à jour les autorisations pour un modèle inscrit. - registeredModelId
- userId
modelRegistry createComment Un utilisateur publie un commentaire sur une version de modèle. - name
- version
modelRegistry createModelVersion Un utilisateur crée une version de modèle. - name
- source
- run_id
- tags
- run_link
modelRegistry createRegisteredModel Un utilisateur crée un modèle inscrit - name
- tags
modelRegistry createRegistryWebhook L’utilisateur crée un webhook pour les événements du Registre de modèles. - orgId
- registeredModelId
- events
- description
- status
- creatorId
- httpUrlSpec
modelRegistry createTransitionRequest Un utilisateur crée une demande de transition de phase pour une version de modèle. - name
- version
- stage
modelRegistry deleteComment Un utilisateur supprime un commentaire sur une version de modèle. - id
modelRegistry deleteModelVersion Un utilisateur supprime une version de modèle. - name
- version
modelRegistry deleteModelVersionTag Un utilisateur supprime une balise de version de modèle. - name
- version
- key
modelRegistry deleteRegisteredModel Un utilisateur supprime un modèle inscrit - name
modelRegistry deleteRegisteredModelTag Un utilisateur supprime la balise d’un modèle inscrit. - name
- key
modelRegistry deleteRegistryWebhook L’utilisateur supprime un webhook du Registre de modèles. - orgId
- webhookId
modelRegistry deleteTransitionRequest Un utilisateur annule une demande de transition de phase de version du modèle. - name
- version
- stage
- creator
modelRegistry finishCreateModelVersionAsync Copie asynchrone de modèle terminée. - name
- version
modelRegistry generateBatchInferenceNotebook Le notebook d’inférence par lots est généré automatiquement. - userId
- orgId
- modelName
- inputTableOpt
- outputTablePathOpt
- stageOrVersion
- modelVersionEntityOpt
- notebookPath
modelRegistry generateDltInferenceNotebook Le notebook d’inférence pour un pipeline Delta Live Tables est généré automatiquement. - userId
- orgId
- modelName
- inputTable
- outputTable
- stageOrVersion
- notebookPath
modelRegistry getModelVersionDownloadUri Un utilisateur obtient un URI pour télécharger la version du modèle. - name
- version
modelRegistry getModelVersionSignedDownloadUri Un utilisateur obtient un URI pour télécharger une version de modèle signée. - name
- version
- path
modelRegistry listModelArtifacts Un utilisateur effectue un appel pour répertorier les artefacts d’un modèle. - name
- version
- path
- page_token
modelRegistry listRegistryWebhooks Un utilisateur effectue un appel pour répertorier tous les webhooks du Registre dans le modèle. - orgId
- registeredModelId
modelRegistry rejectTransitionRequest Un utilisateur rejette une demande de transition de phase pour une version de modèle. - name
- version
- stage
modelRegistry renameRegisteredModel Un utilisateur renomme un modèle inscrit - name
- new_name
modelRegistry setEmailSubscriptionStatus Un utilisateur met à jour l’état de l’abonnement par e-mail pour un modèle inscrit
modelRegistry setModelVersionTag Un utilisateur définit une balise de version de modèle. - name
- version
- key
- value
modelRegistry setRegisteredModelTag Un utilisateur définit une balise de version de modèle. - name
- key
- value
modelRegistry setUserLevelEmailSubscriptionStatus Un utilisateur met à jour son état pour les notifications par e-mail pour l’ensemble du registre. - orgId
- userId
- subscriptionStatus
modelRegistry testRegistryWebhook Un utilisateur teste le webhook du Registre de modèles. - orgId
- webhookId
modelRegistry transitionModelVersionStage Un utilisateur obtient la liste de toutes les demandes de transition de phase ouverte pour la version du modèle. - name
- version
- stage
- archive_existing_versions
modelRegistry triggerRegistryWebhook Un webhook du Registre de modèles est déclenché par un événement. - orgId
- registeredModelId
- events
- status
modelRegistry updateComment Un utilisateur publie une modification d’un commentaire sur une version de modèle. - id
modelRegistry updateRegistryWebhook Un utilisateur met à jour un webhook du Registre de modèles. - orgId
- webhookId

Événements de mise en service de modèles

Les événements serverlessRealTimeInference suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
serverlessRealTimeInference changeInferenceEndpointAcl L’utilisateur met à jour les autorisations pour un point de terminaison d’inférence. - shardName
- targetUserId
- resourceId
- aclPermissionSet
serverlessRealTimeInference createServingEndpoint L’utilisateur crée un point de terminaison de service de modèle. - name
- config
serverlessRealTimeInference deleteServingEndpoint L’utilisateur supprime un point de terminaison de service de modèle. - name
serverlessRealTimeInference disable L’utilisateur désactive le service de modèle pour un modèle inscrit. - registered_mode_name
serverlessRealTimeInference enable L’utilisateur active le service de modèle pour un modèle inscrit. - registered_mode_name
serverlessRealTimeInference getQuerySchemaPreview Les utilisateurs effectuent un appel pour obtenir l’aperçu du schéma de requête. - endpoint_name
serverlessRealTimeInference updateServingEndpoint L’utilisateur met à jour un point de terminaison de service de modèle. - name
- served_models
- traffic_config
serverlessRealTimeInference updateInferenceEndpointRateLimits Un utilisateur met à jour les limites de taux pour un point de terminaison d’inférence. Les limites de taux s’appliquent uniquement aux API Foundation Model avec paiement par jeton et aux points de terminaison de modèle externe. - name
- rate_limits

Événements de notebook

Les événements notebook suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
notebook attachNotebook Un notebook est attaché à un cluster. - path
- clusterId
- notebookId
notebook cloneNotebook Un utilisateur clone un notebook. - notebookId
- path
- clonedNotebookId
- destinationPath
notebook createNotebook Un notebook est créé. - notebookId
- path
notebook deleteFolder Un dossier de notebook est supprimé. - path
notebook deleteNotebook Un notebook est supprimé. - notebookId
- notebookName
- path
notebook detachNotebook Un notebook est détaché d’un cluster. - notebookId
- clusterId
- path
notebook downloadLargeResults Un utilisateur télécharge des résultats de requête trop volumineux pour être affichés dans le notebook. - notebookId
- notebookFullPath
notebook downloadPreviewResults Un utilisateur télécharge les résultats de la requête. - notebookId
- notebookFullPath
notebook importNotebook Un utilisateur importe un notebook. - path
notebook moveFolder Un dossier de notebook est déplacé d’un emplacement à un autre. - oldPath
- newPath
- folderId
notebook moveNotebook Un notebook est déplacé d’un emplacement à un autre. - newPath
- oldPath
- notebookId
notebook renameNotebook Un notebook est renommé. - newName
- oldName
- parentPath
- notebookId
notebook restoreFolder Un dossier supprimé est restauré. - path
notebook restoreNotebook Un notebook supprimé est restauré. - path
- notebookId
- notebookName
notebook runCommand Disponible lorsque les journaux d’audit détaillés sont activés. Émis après l’exécution d’une commande par Databricks dans un notebook. Une commande correspond à une cellule dans un notebook.

executionTime se mesure en secondes.
- notebookId
- executionTime
- status
- commandId
- commandText
- commandLanguage
notebook takeNotebookSnapshot Des instantanés de notebook sont pris lorsque le service de travail ou mlflow est exécuté. - path

Événements Partner Connect

Les événements partnerHub suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
partnerHub createOrReusePartnerConnection Un administrateur d’espace de travail configure une connexion à une solution partenaire. - partner_name
partnerHub deletePartnerConnection Un administrateur d’espace de travail supprime une connexion partenaire. - partner_name
partnerHub downloadPartnerConnectionFile Un administrateur d’espace de travail télécharge le fichier de connexion partenaire. - partner_name
partnerHub setupResourcesForPartnerConnection Un administrateur d’espace de travail configure des ressources pour une connexion partenaire. - partner_name

Événements d’optimisation prédictive

Les événements predictiveOptimization suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
predictiveOptimization PutMetrics Enregistré lorsque l’optimisation prédictive met à jour les métriques de table et de charge de travail afin que le service puisse planifier plus intelligemment les opérations d’optimisation. - table_metrics_list
- start_time
- end_time
predictiveOptimization UpdatePredictiveOptimization Un administrateur de compte active ou désactive l’optimisation prédictive pour un metastore. - metastore_id
- enable

Événements du service d’historique distant

Les événements remoteHistoryService suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
remoteHistoryService addUserGitHubCredentials L’utilisateur ajoute des informations d’identification Github Aucun
remoteHistoryService deleteUserGitHubCredentials L’utilisateur supprime les informations d’identification Github Aucun
remoteHistoryService updateUserGitHubCredentials L’utilisateur met à jour les informations d’identification Github Aucune

Événements de dossier Git

Les événements repos suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
repos checkoutBranch Un utilisateur extrait une branche sur le référentiel. - id
- branch
repos commitAndPush Un utilisateur commite et envoie (push) vers un référentiel. - id
- message
- files
- checkSensitiveToken
repos createRepo Un utilisateur crée un référentiel dans l’espace de travail - url
- provider
- path
repos deleteRepo Un utilisateur supprime un référentiel. - id
repos discard Un utilisateur ignore un commit sur un référentiel. - id
- file_paths
repos getRepo Un utilisateur effectue un appel pour obtenir des informations sur un seul référentiel. - id
repos listRepos Un utilisateur effectue un appel pour obtenir tous les référentiels sur lesquels il dispose d’autorisations de gestion. - path_prefix
- next_page_token
repos pull Un utilisateur extrait les derniers commits d’un référentiel. - id
repos updateRepo Un utilisateur met à jour le référentiel vers une autre branche ou balise, ou vers le dernier commit sur la même branche. - id
- branch
- tag
- git_url
- git_provider

Événements liés aux secrets

Les événements secrets suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
secrets createScope L’utilisateur crée une étendue de secrets. - scope
- initial_manage_principal
- scope_backend_type
secrets deleteAcl L’utilisateur supprime les listes de contrôle d’accès pour une étendue de secrets. - scope
- principal
secrets deleteScope L’utilisateur supprime une étendue de secrets. - scope
secrets deleteSecret L’utilisateur supprime un secret d’une étendue. - key
- scope
secrets getAcl L’utilisateur obtient des listes de contrôle d’accès pour une étendue de secrets. - scope
- principal
secrets getSecret L’utilisateur obtient un secret à partir d’une étendue. - key
- scope
secrets listAcls L’utilisateur effectue un appel pour répertorier les listes de contrôle d’accès pour une étendue de secrets. - scope
secrets listScopes L’utilisateur effectue un appel pour répertorier les étendues de secrets Aucune
secrets listSecrets L’utilisateur effectue un appel pour répertorier les secrets dans une étendue. - scope
secrets putAcl L’utilisateur modifie les listes de contrôle d’accès pour une étendue de secret. - scope
- principal
- permission
secrets putSecret L’utilisateur ajoute ou modifie un secret dans une étendue. - string_value
- key
- scope

Événements d’accès à la table SQL

Notes

Le service sqlPermissions inclut des événements liés au contrôle d’accès à une table de metastore Hive héritée. Databricks vous recommande de mettre à niveau les tables gérées par le metastore Hive vers le metastore Unity Catalog.

Les événements sqlPermissions suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
sqlPermissions changeSecurableOwner L’administrateur de l’espace de travail ou le propriétaire d’un objet transfère la propriété de l’objet. - securable
- principal
sqlPermissions createSecurable L’utilisateur crée un objet sécurisable. - securable
sqlPermissions denyPermission Le propriétaire de l’objet refuse les privilèges sur un objet sécurisable. - permission
sqlPermissions grantPermission Le propriétaire de l’objet accorde l’autorisation sur un objet sécurisable. - permission
sqlPermissions removeAllPermissions L’utilisateur supprime un objet sécurisable. - securable
sqlPermissions renameSecurable L’utilisateur renomme un objet sécurisable. - before
- after
sqlPermissions requestPermissions L’utilisateur demande des autorisations sur un objet sécurisable. - requests
sqlPermissions revokePermission Le propriétaire de l’objet révoque les autorisations sur son objet sécurisable. - permission
sqlPermissions showPermissions L’utilisateur affiche les autorisations d’un objet sécurisable. - securable
- principal

Événements SSH

Les événements ssh suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
ssh login Connexion de l’agent ssh au pilote Spark. - containerId
- userName
- port
- publicKey
- instanceId
ssh logout Déconnexion de l’agent ssh à partir du pilote Spark. - userName
- containerId
- instanceId

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements vectorSearch suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
vectorSearch createEndpoint L’utilisateur crée un point de terminaison de recherche vectorielle. - name
- endpoint_type
vectorSearch deleteEndpoint L’utilisateur supprime un point de terminaison de recherche vectorielle. - name
vectorSearch createVectorIndex L’utilisateur crée un index de recherche vectorielle. - name
- endpoint_name
- primary_key
- index_type
- delta_sync_index_spec
- direct_access_index_spec
vectorSearch deleteVectorIndex L’utilisateur supprime un index de recherche vectorielle. - name
- endpoint_name
- delete_embedding_writeback_table

Événements de terminal web

Les événements webTerminal suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
webTerminal startSession L’utilisateur démarre des sessions de terminal web. - socketGUID
- clusterId
- serverPort
- ProxyTargetURI
webTerminal closeSession L’utilisateur ferme une session de terminal web. - socketGUID
- clusterId
- serverPort
- ProxyTargetURI

Événements d’espace de travail

Les événements workspace suivants sont enregistrés au niveau de l’espace de travail.

Service Nom de l’action Description Paramètres de la demande
workspace changeWorkspaceAcl Les autorisations d’accès à l’espace de travail sont modifiées. - shardName
- targetUserId
- aclPermissionSet
- resourceId
workspace deleteSetting Un paramètre est supprimé de l’espace de travail. - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
workspace fileCreate L’utilisateur crée un fichier dans l’espace de travail. - path
workspace fileDelete L’utilisateur supprime un fichier dans l’espace de travail. - path
workspace fileEditorOpenEvent L’utilisateur ouvre l’éditeur de fichiers. - notebookId
- path
workspace getRoleAssignment L’utilisateur obtient les rôles d’utilisateur d’un espace de travail. - account_id
- workspace_id
workspace mintOAuthAuthorizationCode Enregistré lorsque le code d’autorisation OAuth interne est frappé au niveau de l’espace de travail. - client_id
workspace mintOAuthToken Le jeton OAuth est frappé pour l’espace de travail. - grant_type
- scope
- expires_in
- client_id
workspace moveWorkspaceNode Un administrateur d’espace de travail déplace un nœud d’espace de travail. - destinationPath
- path
workspace purgeWorkspaceNodes Un administrateur d’espace de travail vide des nœuds d’un espace de travail. - treestoreId
workspace reattachHomeFolder Un dossier d’accueil existant est rattaché pour un utilisateur qui est rajouté à l’espace de travail. - path
workspace renameWorkspaceNode Un administrateur d’espace de travail renomme des nœuds d’un espace de travail. - path
- destinationPath
workspace unmarkHomeFolder Les attributs spéciaux du dossier d’accueil sont supprimés lorsqu’un utilisateur est supprimé de l’espace de travail. - path
workspace updateRoleAssignment Un administrateur d’espace de travail met à jour le rôle d’un utilisateur d’espace de travail. - account_id
- workspace_id
- principal_id
workspace updatePermissionAssignment Un administrateur d’espace de travail ajoute un principal à l’espace de travail. - principal_id
- permissions
workspace setSetting Un administrateur d’espace de travail configure un paramètre d’espace de travail. - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
workspace workspaceConfEdit L’administrateur d’espace de travail met à jour un paramètre, par exemple en activant des journaux d’audit détaillés. - workspaceConfKeys
- workspaceConfValues
workspace workspaceExport L’utilisateur exporte un notebook à partir d’un espace de travail. - workspaceExportDirectDownload
- workspaceExportFormat
- notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication Le client OAuth est authentifié dans le service d’espace de travail. - user

Événements d’utilisation facturables

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements accountBillableUsage suivants sont enregistrés au niveau du compte.

Service Action Description Paramètres de la demande
accountBillableUsage getAggregatedUsage L’utilisateur a accédé à une utilisation facturable agrégée (utilisation par jour) pour le compte via la fonctionnalité Graphique d’utilisation. - account_id
- window_size
- start_time
- end_time
- meter_name
- workspace_ids_filter
accountBillableUsage getDetailedUsage L’utilisateur a accédé à une utilisation facturable détaillée (utilisation pour chaque cluster) pour le compte via la fonctionnalité Téléchargement d’utilisation. - account_id
- start_month
- end_month
- with_pii

Événements de compte au niveau du compte

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements accounts suivants sont enregistrés au niveau du compte.

Service Action Description Paramètres de la demande
accounts accountInHouseOAuthClientAuthentication Un client OAuth est authentifié. - endpoint
accounts accountIpAclsValidationFailed La validation des autorisations IP échoue. Retourne statusCode 403. - sourceIpAddress
- user: connecté en tant qu’adresse e-mail
accounts activateUser Un utilisateur est réactivé après avoir été désactivé. Consultez Désactiver les utilisateurs dans compte. - targetUserName
- endpoint
- targetUserId
accounts add Un utilisateur est ajouté au compte Azure Databricks. - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup Un utilisateur est ajouté à un groupe au niveau du compte. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts addPrincipalsToGroup Des utilisateurs sont ajoutés à un groupe au niveau du compte à l’aide du provisionnement SCIM. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts createGroup Un groupe au niveau du compte est créé. - endpoint
- targetGroupId
- targetGroupName
accounts deactivateUser Un utilisateur est désactivé. Consultez Désactiver les utilisateurs dans compte. - targetUserName
- endpoint
- targetUserId
accounts delete Un utilisateur est supprimé du compte Azure Databricks. - targetUserId
- targetUserName
- endpoint
accounts deleteSetting L’administrateur de compte supprime un paramètre du compte Azure Databricks. - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts garbageCollectDbToken Un utilisateur exécute une commande « garbage collect » sur des jetons arrivés à expiration. - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken L’utilisateur génère un jeton à partir des paramètres utilisateur ou lorsque le service génère le jeton. - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts login Un utilisateur se connecte à la console de compte. - user
accounts logout Un utilisateur se déconnecte de la console de compte. - user
accounts oidcBrowserLogin Un utilisateur se connecte à son compte avec le workflow de navigateur OpenID Connect. - user
accounts oidcTokenAuthorization Un jeton OIDC est authentifié pour une connexion d’administrateur de compte. - user
accounts removeAccountAdmin Un administrateur de compte supprime les autorisations d’administrateur de compte d’un autre utilisateur. - targetUserName
- endpoint
- targetUserId
accounts removeGroup Un groupe est supprimé du compte. - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup Les utilisateurs sont supprimés d’un groupe au niveau du compte. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts removePrincipalsFromGroup Des utilisateurs sont supprimés d’un groupe au niveau du compte à l’aide du provisionnement SCIM. - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts setAccountAdmin Un administrateur de compte attribue le rôle d’administrateur de compte à un autre utilisateur. - targetUserName
- endpoint
- targetUserId
accounts setSetting Un administrateur de compte met à jour un paramètre au niveau du compte. - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts tokenLogin L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. - tokenId
- user
accounts updateUser Un administrateur de compte met à jour un compte d’utilisateur. - targetUserName
- endpoint
- targetUserId
accounts updateGroup Un administrateur de compte met à jour un groupe au niveau du compte. - endpoint
- targetGroupId
- targetGroupName
accounts validateEmail Lorsqu’un utilisateur valide son e-mail après la création du compte. - endpoint
- targetUserName
- targetUserId

Événements de contrôle d’accès au niveau du compte

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

L’événement accountsAccessControl suivant est enregistré au niveau du compte.

Service Action Description Paramètres de la demande
accountsAccessControl updateRuleSet Lorsqu’un ensemble de règles est modifié. - account_id
- name
- rule_set

Événements de gestion de compte

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements accountsManager suivants sont enregistrés au niveau du compte. Ces événements se rapportent aux configurations effectuées par les administrateurs de compte dans la console de compte.

Service Action Description Paramètres de la demande
accountsManager createNetworkConnectivityConfig L’administrateur de compte a créé une configuration de connectivité réseau. - network_connectivity_config
accountsManager getNetworkConnectivityConfig L’administrateur de compte demande des détails sur une configuration de connectivité réseau. - account_id
- network_connectivity_config_id
accountsManager listNetworkConnectivityConfigs L’administrateur de compte répertorie toutes les configurations de connectivité réseau dans le compte. - account_id
accountsManager deleteNetworkConnectivityConfig L’administrateur de compte a supprimé une configuration de connectivité réseau. - account_id
- network_connectivity_config_id
accountsManager createNetworkConnectivityConfigPrivateEndpointRule L’administrateur de compte a créé une règle de point de terminaison privé. - account_id
- network_connectivity_config_id
- azure_private_endpoint_rule
accountsManager getNetworkConnectivityConfigPrivateEndpointRule L’administrateur de compte demande des détails sur une règle de point de terminaison privé. - account_id
- network_connectivity_config_id
- rule_id
accountsManager listNetworkConnectivityConfigPrivateEndpointRules L’administrateur de compte répertorie toutes les règles de point de terminaison privé sous une configuration de connectivité réseau. - account_id
- network_connectivity_config_id
accountsManager deleteNetworkConnectivityConfigPrivateEndpointRule L’administrateur de compte a supprimé une règle de point de terminaison privé. - account_id
- network_connectivity_config_id
- rule_id
accountsManager updateNetworkConnectivityConfigPrivateEndpointRule L’administrateur de compte a mis à jour une règle de point de terminaison privé. - account_id
- network_connectivity_config_id
- rule_id
- azure_private_endpoint_rule

Événements de stratégie budgétaire

Les événements suivants budgetPolicyCentral sont enregistrés au niveau du compte et sont liés aux stratégies budgétaires. Consultez l’utilisation serverless de l’attribut avec des stratégies budgétaires.

Service Action Description Paramètres de la demande
budgetPolicyCentral createBudgetPolicy L’administrateur de l’espace de travail ou l’administrateur de facturation crée une stratégie budgétaire. Le nouveau policy_id est connecté à la response colonne. - policy_name
budgetPolicyCentral updateBudgetPolicy L’administrateur de l’espace de travail, l’administrateur de facturation ou le gestionnaire de stratégies met à jour une stratégie budgétaire. - policy.policy_id
- policy.policy_name
budgetPolicyCentral updateBudgetPolicy L’administrateur de l’espace de travail, l’administrateur de facturation ou le gestionnaire de stratégies supprime une stratégie budgétaire. - policy_id

Événements Unity Catalog

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements de diagnostic suivants sont liés à Unity Catalog. Les événements Delta Sharing sont également enregistrés sous le service unityCatalog. Pour les événements de partage Delta, consultez l’article sur les événements de partage Delta. Les événements d’audit Unity Catalog peuvent être consignés au niveau de l’espace de travail ou au niveau du compte en fonction de l’événement.

Service Action Description Paramètres de la demande
unityCatalog createMetastore L’administrateur de compte crée un metastore. - name
- storage_root
- workspace_id
- metastore_id
unityCatalog getMetastore L’administrateur de compte demande l’ID du metastore. - id
- workspace_id
- metastore_id
unityCatalog getMetastoreSummary L’administrateur de compte demande des détails sur un metastore. - workspace_id
- metastore_id
unityCatalog listMetastores L’administrateur de compte demande une liste de tous les metastores dans un compte. - workspace_id
unityCatalog updateMetastore L’administrateur de compte effectue la mise à jour d’un metastore. - id
- owner
- workspace_id
- metastore_id
unityCatalog deleteMetastore L’administrateur de compte supprime un metastore. - id
- force
- workspace_id
- metastore_id
unityCatalog updateMetastoreAssignment L’administrateur de compte effectue une mise à jour de l’affectation d’espace de travail d’un metastore. - workspace_id
- metastore_id
- default_catalog_name
unityCatalog createExternalLocation L’administrateur de compte crée un emplacement externe. - name
- skip_validation
- url
- credential_name
- workspace_id
- metastore_id
unityCatalog getExternalLocation L’administrateur de compte demande des détails sur un emplacement externe. - name_arg
- include_browse
- workspace_id
- metastore_id
unityCatalog listExternalLocations L’administrateur de compte demande une liste de tous les emplacements externes d’un compte. - url
- max_results
- workspace_id
- metastore_id
unityCatalog updateExternalLocation L’administrateur de compte effectue la mise à jour d’un emplacement externe. - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteExternalLocation L’administrateur de compte supprime un emplacement externe. - name_arg
- force
- workspace_id
- metastore_id
unityCatalog createCatalog L’utilisateur crée un catalogue. - name
- comment
- workspace_id
- metastore_id
unityCatalog deleteCatalog L’utilisateur supprime un catalogue. - name_arg
- workspace_id
- metastore_id
unityCatalog getCatalog L’utilisateur demande des détails sur un catalogue. - name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog updateCatalog L’utilisateur met à jour un catalogue. - name_arg
- isolation_mode
- comment
- workspace_id
- metastore_id
unityCatalog listCatalog L’utilisateur effectue un appel pour répertorier tous les catalogues dans le metastore. - name_arg
- workspace_id
- metastore_id
unityCatalog createSchema L’utilisateur crée un schéma. - name
- catalog_name
- comment
- workspace_id
- metastore_id
unityCatalog deleteSchema L’utilisateur supprime un schéma. - full_name_arg
- force
- workspace_id
- metastore_id
unityCatalog getSchema L’utilisateur demande des détails sur un schéma. - full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog listSchema L’utilisateur demande la liste de tous les schémas d’un catalogue. - catalog_name
unityCatalog updateSchema L’utilisateur met à jour un schéma. - full_name_arg
- name
- workspace_id
- metastore_id
- comment
unityCatalog createStagingTable - name
- catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog createTable Un utilisateur crée une table. Les paramètres de requête diffèrent en fonction du type de table créé. - name
- data_source_format
- catalog_name
- schema_name
- storage_location
- columns
- dry_run
- table_type
- view_dependencies
- view_definition
- sql_path
- comment
unityCatalog deleteTable L’utilisateur supprime une table. - full_name_arg
- workspace_id
- metastore_id
unityCatalog getTable L’utilisateur demande des détails sur une table. - include_delta_metadata
- full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog privilegedGetTable - full_name_arg
unityCatalog listTables L’utilisateur effectue un appel pour répertorier toutes les tables d’un schéma. - catalog_name
- schema_name
- workspace_id
- metastore_id
- include_browse
unityCatalog listTableSummaries L’utilisateur obtient un tableau de résumés pour les tables d’un schéma et d’un catalogue dans le metastore. - catalog_name
- schema_name_pattern
- workspace_id
- metastore_id
unityCatalog updateTables Un utilisateur effectue la mise à jour d’une table. Les paramètres de requête affichés varient en fonction du type de mise à jour de table effectuée. - full_name_arg
- table_type
- table_constraint_list
- data_source_format
- columns
- dependent
- row_filter
- storage_location
- sql_path
- view_definition
- view_dependencies
- owner
- comment
- workspace_id
- metastore_id
unityCatalog createStorageCredential L’administrateur de compte crée des informations d’identification de stockage. Vous pouvez voir un paramètre de requête supplémentaire basé sur les informations d’identification de votre fournisseur de cloud. - name
- comment
- workspace_id
- metastore_id
unityCatalog listStorageCredentials L’administrateur de compte effectue un appel pour répertorier toutes les informations d’identification de stockage dans le compte. - workspace_id
- metastore_id
unityCatalog getStorageCredential L’administrateur de compte demande des détails sur des informations d’identification de stockage. - name_arg
- workspace_id
- metastore_id
unityCatalog updateStorageCredential L’administrateur de compte effectue une mise à jour d’informations d’identification de stockage. - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteStorageCredential L’administrateur de compte supprime des informations d’identification de stockage. - name_arg
- workspace_id
- metastore_id
unityCatalog generateTemporaryTableCredential Journalisé chaque fois qu’une information d’identification temporaire est accordée pour une table. Vous pouvez utiliser cet événement pour déterminer qui a interrogé quoi et quand. - credential_id
- credential_type
- is_permissions_enforcing_client
- table_full_name
- operation
- table_id
- workspace_id
- table_url
- metastore_id
unityCatalog generateTemporaryPathCredential Journalisé chaque fois qu’une information d’identification temporaire est accordée pour un chemin d’accès. - url
- operation
- make_path_only_parent
- workspace_id
- metastore_id
unityCatalog getPermissions L’utilisateur effectue un appel pour obtenir les détails d’autorisation d’un objet sécurisable. Cet appel ne renvoie pas les autorisations héritées, mais uniquement les autorisations explicitement attribuées. - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getEffectivePermissions L'utilisateur fait un appel pour obtenir tous les détails de l'autorisation pour un objet sécurisable. Un appel de permissions efficace renvoie à la fois les permissions attribuées explicitement et les permissions héritées. - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog updatePermissions L’utilisateur met à jour les autorisations sur un objet sécurisable. - securable_type
- changes
- securable_full_name
- workspace_id
- metastore_id
unityCatalog metadataSnapshot L’utilisateur interroge les métadonnées d’une version de table précédente. - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog metadataAndPermissionsSnapshot L’utilisateur interroge les métadonnées et les autorisations d’une version de table précédente. - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog updateMetadataSnapshot L’utilisateur met à jour les métadonnées d’une version de table précédente. - table_list_snapshots
- schema_list_snapshots
- workspace_id
- metastore_id
unityCatalog getForeignCredentials L’utilisateur effectue un appel pour obtenir des détails sur une clé étrangère. - securables
- workspace_id
- metastore_id
unityCatalog getInformationSchema L’utilisateur effectue un appel pour obtenir des détails sur un schéma. - table_name
- page_token
- required_column_names
- row_set_type
- required_column_names
- workspace_id
- metastore_id
unityCatalog createConstraint L’utilisateur crée une contrainte pour une table. - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog deleteConstraint L’utilisateur supprime une contrainte pour une table. - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog createPipeline L’utilisateur crée un pipeline Unity Catalog. - target_catalog_name
- has_workspace_definition
- id
- workspace_id
- metastore_id
unityCatalog updatePipeline L’utilisateur met à jour un pipeline Unity Catalog. - id_arg
- definition_json
- id
- workspace_id
- metastore_id
unityCatalog getPipeline L’utilisateur demande des détails sur un pipeline Unity Catalog. - id
- workspace_id
- metastore_id
unityCatalog deletePipeline L’utilisateur supprime un pipeline Unity Catalog. - id
- workspace_id
- metastore_id
unityCatalog deleteResourceFailure La suppression de la ressource échoue Aucune
unityCatalog createVolume L’utilisateur crée un volume Unity Catalog. - name
- catalog_name
- schema_name
- volume_type
- storage_location
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getVolume L’utilisateur effectue un appel pour obtenir des informations sur un volume Unity Catalog. - volume_full_name
- workspace_id
- metastore_id
unityCatalog updateVolume L’utilisateur met à jour les métadonnées d’un volume Unity Catalog avec les appels ALTER VOLUME ou COMMENT ON. - volume_full_name
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteVolume L’utilisateur supprime un volume Unity Catalog. - volume_full_name
- workspace_id
- metastore_id
unityCatalog listVolumes L’utilisateur effectue un appel pour obtenir la liste de tous les volumes Unity Catalog d’un schéma. - catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog generateTemporaryVolumeCredential Des informations d’identification temporaires sont générées lorsqu’un utilisateur effectue une opération de lecture ou d’écriture sur un volume. Vous pouvez utiliser cet événement pour déterminer qui a eu accès à un volume et quand. - volume_id
- volume_full_name
- operation
- volume_storage_location
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog getTagSecurableAssignments Les affectations d’étiquettes pour un élément sécurisable sont récupérées - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getTagSubentityAssignments Les affectations d’étiquettes pour une sous-entité sont récupérées - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
unityCatalog UpdateTagSecurableAssignments Les affectations de balises pour un élément sécurisable sont mises à jour - securable_type
- securable_full_name
- workspace_id
- metastore_id
- changes
unityCatalog UpdateTagSubentityAssignments Les affectations de balises pour une sous-entité sont mises à jour - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
- changes
unityCatalog createRegisteredModel L’utilisateur crée un modèle inscrit Unity Catalog. - name
- catalog_name
- schema_name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getRegisteredModel L’utilisateur effectue un appel pour obtenir des informations sur un modèle inscrit Unity Catalog. - full_name_arg
- workspace_id
- metastore_id
unityCatalog updateRegisteredModel L’utilisateur met à jour les métadonnées d’un modèle inscrit Unity Catalog. - full_name_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteRegisteredModel L’utilisateur supprime un modèle inscrit Unity Catalog. - full_name_arg
- workspace_id
- metastore_id
unityCatalog listRegisteredModels L’utilisateur effectue un appel pour obtenir une liste des modèles inscrits Unity Catalog dans un schéma, ou pour obtenir une liste des modèles dans des catalogues et des schémas. - catalog_name
- schema_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog createModelVersion L’utilisateur crée une version de modèle dans Unity Catalog. - catalog_name
- schema_name
- model_name
- source
- comment
- workspace_id
- metastore_id
unityCatalog finalizeModelVersion L’utilisateur effectue un appel pour «finaliser » une version d’un modèle Unity Catalog après avoir chargé les fichiers de version du modèle à son emplacement de stockage, ce qui le rend en lecture seule et utilisable dans des workflows d’inférence. - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersion L’utilisateur effectue un appel pour obtenir des détails sur une version de modèle. - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersionByAlias L’utilisateur effectue un appel pour obtenir des détails sur une version de modèle à l’aide de l’alias. - full_name_arg
- include_aliases
- alias_arg
- workspace_id
- metastore_id
unityCatalog updateModelVersion L’utilisateur met à jour les métadonnées d’une version de modèle. - full_name_arg
- version_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteModelVersion L’utilisateur supprime une version de modèle. - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog listModelVersions L’utilisateur effectue un appel pour obtenir une liste des versions de modèle Unity Catalog dans un modèle inscrit. - catalog_name
- schema_name
- model_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog generateTemporaryModelVersionCredential Des informations d’identification temporaires sont générées lorsqu’un utilisateur effectue une écriture (lors de la création de version initiale du modèle) ou une lecture (une fois que la version du modèle a été finalisée) sur une version du modèle. Vous pouvez utiliser cet événement pour déterminer qui a eu accès à une version de modèle et quand. - full_name_arg
- version_arg
- operation
- model_version_url
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog setRegisteredModelAlias L’utilisateur définit un alias sur un modèle inscrit dans le catalogue Unity. - full_name_arg
- alias_arg
- version
unityCatalog deleteRegisteredModelAlias L’utilisateur supprime un alias sur un modèle inscrit dans un catalogue Unity. - full_name_arg
- alias_arg
unityCatalog getModelVersionByAlias L’utilisateur obtient une version du modèle catalogue Unity par alias. - full_name_arg
- alias_arg
unityCatalog createConnection Une nouvelle connexion étrangère est créée. - name
- connection_type
- workspace_id
- metastore_id
unityCatalog deleteConnection Une connexion étrangère est supprimée. - name_arg
- workspace_id
- metastore_id
unityCatalog getConnection Une connexion étrangère est récupérée. - name_arg
- workspace_id
- metastore_id
unityCatalog updateConnection Une connexion étrangère est mise à jour. - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listConnections Les connexions étrangères dans un metastore sont répertoriées. - workspace_id
- metastore_id
unityCatalog createFunction L’utilisateur crée une fonction. - function_info
- workspace_id
- metastore_id
unityCatalog updateFunction L’utilisateur met à jour une fonction. - full_name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listFunctions L’utilisateur demande une liste de toutes les fonctions au sein d’un catalogue ou d’un schéma parent spécifique. - catalog_name
- schema_name
- include_browse
- workspace_id
- metastore_id
unityCatalog getFunction L’utilisateur demande une fonction à partir d’un catalogue ou d’un schéma parent. - full_name_arg
- workspace_id
- metastore_id
unityCatalog deleteFunction L’utilisateur demande une fonction à partir d’un catalogue ou d’un schéma parent. - full_name_arg
- workspace_id
- metastore_id
unityCatalog createShareMarketplaceListingLink - links_infos
- metastore_id
unityCatalog deleteShareMarketplaceListingLink - links_infos
- metastore_id

Événements de partage Delta

Remarque

Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.

Les événements de partage Delta sont divisés en deux sections : les événements enregistrés dans le compte du fournisseur de données et les événements enregistrés dans le compte du destinataire des données.

Événements du fournisseur de partage Delta

Les événements de journal d’audit suivants sont enregistrés dans le compte du fournisseur. Les actions effectuées par les destinataires commencent par le deltaSharing préfixe . Chacun de ces journaux inclut également request_params.metastore_id, qui est le metastore qui gère les données partagées, et userIdentity.email, qui est l’ID de l’utilisateur qui a lancé l’activité.

Service Action Description Paramètres de la demande
unityCatalog deltaSharingListShares Un destinataire de données demande une liste de partages. - options : options de pagination fournies avec cette requête.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingGetShare Un destinataire de données demande des détails sur un partage. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListSchemas Un destinataire de données demande une liste de schémas partagés. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- options : options de pagination fournies avec cette requête.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListAllTables Un destinataire de données demande une liste de toutes les tables partagées. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListTables Un destinataire de données demande une liste de tables partagées. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- options : options de pagination fournies avec cette requête.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingGetTableMetadata Un destinataire de données demande des détails sur les métadonnées d’une table. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- schema : nom du schéma.
- name : nom de la table.
- predicateHints : prédicats inclus dans la requête.
- limitHints : quantité maximale de lignes à retourner.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingGetTableVersion Un destinataire de données demande des détails sur une version de table. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- schema : nom du schéma.
- name : nom de la table.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingQueryTable Journalisé lorsqu’un destinataire de données interroge une table partagée. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- schema : nom du schéma.
- name : nom de la table.
- predicateHints : prédicats inclus dans la requête.
- limitHints : quantité maximale de lignes à retourner.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingQueryTableChanges Journalisé lorsqu’un destinataire de données interroge des données modifiées pour une table. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- schema : nom du schéma.
- name : nom de la table.
- cdf_options : modifier les options de flux de données.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingQueriedTable Journalisé après qu’un destinataire de données obtient une réponse à sa requête. Le champ response.result contient plus d’informations sur la requête du destinataire (voir Auditer et surveiller le partage de données) - recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingQueriedTableChanges Journalisé après qu’un destinataire de données obtient une réponse à sa requête. Le champ response.result contient plus d’informations sur la requête du destinataire (consultez Auditer et surveiller le partage de données). - recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListNotebookFiles Un destinataire de données demande une liste de fichiers de notebook partagés. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingQueryNotebookFile Un destinataire de données interroge un fichier de notebook partagé. - file_name : nom du fichier de notebook.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListFunctions Un destinataire de données demande une liste de fonctions dans un schéma parent. - share : nom du partage.
- schema : nom du schéma parent de la fonction.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListAllFunctions Un destinataire de données demande une liste de toutes les fonctions partagées. - share : nom du partage.
- schema : nom du schéma parent de la fonction.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListFunctionVersions Un destinataire de données demande une liste de versions de fonction. - share : nom du partage.
- schema : nom du schéma parent de la fonction.
- function : nom de la fonction.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListVolumes Un destinataire de données demande une liste de volumes partagés dans un schéma. - share : nom du partage.
- schema : schémas parents des volumes.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog deltaSharingListAllVolumes Un destinataire de données demande tous les volumes partagés. - share : nom du partage.
- recipient_name: indique le destinataire qui exécute l’action.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog updateMetastore Le fournisseur met à jour son metastore. - delta_sharing_scope : les valeurs peuvent être INTERNAL ou INTERNAL_AND_EXTERNAL.
- delta_sharing_recipient_token_lifetime_in_seconds : si présent, indique que la durée de vie du jeton de destinataire a été mise à jour.
unityCatalog createRecipient Le fournisseur crée un destinataire de données. - name : nom du destinataire.
- comment : commentaire pour le destinataire.
- ip_access_list.allowed_ip_addresses: Liste d’autorisation des adresses IP du destinataire.
unityCatalog deleteRecipient Le fournisseur supprime un destinataire de données. - name : nom du destinataire.
unityCatalog getRecipient Le fournisseur demande des détails sur un destinataire de données. - name : nom du destinataire.
unityCatalog listRecipients Le fournisseur demande une liste de tous ses destinataires de données. Aucune
unityCatalog rotateRecipientToken Le fournisseur fait pivoter le jeton d’un destinataire. - name : nom du destinataire.
- comment : commentaire fourni dans la commande de permutation.
unityCatalog updateRecipient Le fournisseur met à jour les attributs d’un destinataire de données. - name : nom du destinataire.
- updates : représentation JSON des attributs de destinataire qui ont été ajoutées ou supprimées du partage.
unityCatalog createShare Le fournisseur met à jour les attributs d’un destinataire de données. - name : nom du partage.
- comment : commentaire pour le partage.
unityCatalog deleteShare Le fournisseur met à jour les attributs d’un destinataire de données. - name : nom du partage.
unityCatalog getShare Le fournisseur demande des détails sur un partage. - name : nom du partage.
- include_shared_objects : indique si les noms des tables du partage ont été inclus dans la requête.
unityCatalog updateShare Le fournisseur ajoute ou supprime des ressources de données d’un partage. - name : nom du partage.
- updates : représentation JSON de ressources de données qui ont été ajoutées ou supprimées du partage. Chaque élément comprend action (ajouter ou supprimer), name (le nom réel de la table), shared_as (le nom sous lequel la ressource a été partagée, s’il est différent du nom réel) et partition_specification (si une spécification de partition a été fournie).
unityCatalog listShares Le fournisseur demande une liste de ses partages. Aucune
unityCatalog getSharePermissions Le fournisseur demande des détails sur les autorisations d’un partage. - name : nom du partage.
unityCatalog updateSharePermissions Le fournisseur met à jour les autorisations d’un partage. - name : nom du partage.
- changes : représentation JSON des autorisations mises à jour. Chaque modification comprend principal (l’utilisateur ou le groupe auquel l’autorisation est accordée ou révoquée), add (la liste des autorisations qui ont été accordées) et remove (la liste des autorisations qui ont été révoquées).
unityCatalog getRecipientSharePermissions Le fournisseur demande des détails sur les autorisations de partage d’un destinataire. - name : nom du partage.
unityCatalog getActivationUrlInfo Le fournisseur demande des détails sur l’activité de son lien d’activation. - recipient_name : nom du destinataire qui a ouvert l’URL d’activation.
- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, true si la demande a été refusée et false si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire.
unityCatalog generateTemporaryVolumeCredential Les informations d’identification temporaires sont générées pour que le destinataire accède à un volume partagé. - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.
- share_id : ID du partage.
- share_owner : propriétaire du partage.
- recipient_name : nom du destinataire qui demande les informations d’identification.
- recipient_id : ID du destinataire.
- volume_full_name : nom complet à trois niveaux du volume.
- volume_id : ID du volume.
- volume_storage_location : chemin cloud de la racine du volume.
- operation : READ_VOLUME ou WRITE_VOLUME. Pour le partage de volumes, seul READ_VOLUME est pris en charge.
- credential_id : ID des informations d’identification.
- credential_type : type des informations d’identification. La valeur est toujours StorageCredential.
- workspace_id : la valeur est toujours 0 lorsque la requête concerne des volumes partagés.
unityCatalog generateTemporaryTableCredential Les informations d’identification temporaires sont générées pour que le destinataire accède à une table partagée. - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.
- share_id : ID du partage.
- share_owner : propriétaire du partage.
- recipient_name : nom du destinataire qui demande les informations d’identification.
- recipient_id : ID du destinataire.
- table_full_name : nom complet à trois niveaux de la table.
- table_id : ID de la table.
- table_url : chemin d’accès cloud de la racine de la table.
- operation : READ ou READ_WRITE.
- credential_id : ID des informations d’identification.
- credential_type : type des informations d’identification. La valeur est toujours StorageCredential.
- workspace_id : la valeur est toujours 0 lorsque la requête concerne les tables partagées.

Événements de destinataire de partage Delta

Les événements suivants sont enregistrés dans le compte du destinataire des données. Ces événements enregistrent l’accès du destinataire aux ressources de données partagées et d’IA, ainsi qu’aux événements associés à la gestion des fournisseurs. Chacun de ces événements inclut également les paramètres de requête suivants :

  • recipient_name : nom du destinataire dans le système du fournisseur de données.
  • metastore_id : nom du metastore dans le système du fournisseur de données.
  • sourceIPAddress : adresse IP d’où provient la requête.
Service Action Description Paramètres de la demande
unityCatalog deltaSharingProxyGetTableVersion Un destinataire de données demande des détails sur une version de table partagée. - share : nom du partage.
- schema: Nom du catalogue parent de la table.
- name : nom de la table.
unityCatalog deltaSharingProxyGetTableMetadata Un destinataire de données demande des détails sur les métadonnées d’une table partagée. - share : nom du partage.
- schema: Nom du catalogue parent de la table.
- name : nom de la table.
unityCatalog deltaSharingProxyQueryTable Un destinataire de données interroge une table partagée. - share : nom du partage.
- schema: Nom du catalogue parent de la table.
- name : nom de la table.
- limitHints : quantité maximale de lignes à retourner.
- predicateHints : prédicats inclus dans la requête.
- version: version de table, si le flux de données modifiées est activé.
unityCatalog deltaSharingProxyQueryTableChanges Un destinataire de données interroge les données modifiées d’une table. - share : nom du partage.
- schema: Nom du catalogue parent de la table.
- name : nom de la table.
- cdf_options : modifier les options de flux de données.
unityCatalog createProvider Un destinataire de données crée un objet fournisseur. - name: le nom du fournisseur.
- comment: commentaire du fournisseur.
unityCatalog updateProvider Un destinataire de données met à jour un objet fournisseur. - name: le nom du fournisseur.
- updates : représentation JSON des attributs de fournisseur qui ont été ajoutées ou supprimées du partage. Chaque élément comprend action (ajouter ou supprimer) et peut inclure name (le nouveau nom du fournisseur), owner (le nouveau propriétaire) et comment.
unityCatalog deleteProvider Un destinataire de données supprime un objet fournisseur. - name: le nom du fournisseur.
unityCatalog getProvider Un destinataire de données demande des détails sur un objet fournisseur. - name: le nom du fournisseur.
unityCatalog listProviders Un destinataire de données demande une liste de fournisseurs. Aucune
unityCatalog activateProvider Un destinataire de données active un objet fournisseur. - name: le nom du fournisseur.
unityCatalog listProviderShares Un destinataire de données demande une liste des partages d’un fournisseur. - name: le nom du fournisseur.
unityCatalog generateTemporaryVolumeCredential Les informations d’identification temporaires sont générées pour que le destinataire accède à un volume partagé. - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.
- volume_full_name : nom complet à trois niveaux du volume.
- volume_id : ID du volume.
- operation : READ_VOLUME ou WRITE_VOLUME. Pour le partage de volumes, seul READ_VOLUME est pris en charge.
- workspace_id : ID de l’espace de travail qui reçoit la requête de l’utilisateur.
unityCatalog generateTemporaryTableCredential Les informations d’identification temporaires sont générées pour que le destinataire accède à une table partagée. - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.
- table_full_name : nom complet à trois niveaux de la table.
- table_id : ID de la table.
- operation : READ ou READ_WRITE.
- workspace_id : ID de l’espace de travail qui reçoit la requête de l’utilisateur.

Événements de surveillance de la sécurité supplémentaires

Pour les ressources de calcul Azure Databricks du plan de calcul classique, telles que les machines virtuelles pour les clusters et les entrepôts SQL professionnels ou classiques, les fonctionnalités suivantes permettent d’autres agents de surveillance :

Événements de surveillance de l’intégrité des fichiers

Les événements capsule8-alerts-dataplane suivants sont enregistrés au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
capsule8-alerts-dataplane Heartbeat Événement régulier pour confirmer que le moniteur est activé. S’exécute actuellement toutes les 10 minutes. - instanceId
capsule8-alerts-dataplane Memory Marked Executable La mémoire est souvent marquée comme exécutable afin de permettre l’exécution de codes malveillants lorsqu’une application est exploitée. Alerte lorsqu’un programme définit les autorisations de mémoire de tas ou de pile sur exécutable. Cela peut entraîner des faux positifs pour certains serveurs d’application. - instanceId
capsule8-alerts-dataplane File Integrity Monitor Analyse l’intégrité des fichiers système importants. Alerte sur toute modification non autorisée apportée à ces fichiers. Databricks définit des ensembles spécifiques de chemins d’accès du système sur l’image, et cet ensemble de chemins d’accès peut changer au fil du temps. - instanceId
capsule8-alerts-dataplane Systemd Unit File Modified Les modifications apportées aux unités système peuvent entraîner l’assouplissement ou la désactivation des contrôles de sécurité, ou l’installation d’un service malveillant. Alerte chaque fois qu’un fichier d’unité systemd est modifié par un programme autre que systemctl. - instanceId
capsule8-alerts-dataplane Repeated Program Crashes Les plantages répétés du programme peuvent indiquer qu’un attaquant tente d’utiliser un code malveillant exploitant une faille de sécurité liée à une altération de la mémoire, ou qu’il existe un problème de stabilité dans l’application affectée. Alerte lorsque plus de 5 instances d’un programme individuel se bloquent suite à une erreur de segmentation. - instanceId
capsule8-alerts-dataplane Userfaultfd Usage Comme les conteneurs sont généralement des charges de travail statiques, cette alerte peut indiquer qu’un attaquant a compromis le conteneur et tente d’installer et d’exécuter une porte dérobée. Alerte lorsqu’un fichier qui a été créé ou modifié dans les 30 minutes est ensuite exécuté dans un conteneur. - instanceId
capsule8-alerts-dataplane New File Executed in Container La mémoire est souvent marquée comme exécutable afin de permettre l’exécution de codes malveillants lorsqu’une application est exploitée. Alerte lorsqu’un programme définit les autorisations de mémoire de tas ou de pile sur exécutable. Cela peut entraîner des faux positifs pour certains serveurs d’application. - instanceId
capsule8-alerts-dataplane Suspicious Interactive Shell Les interpréteurs de commandes interactifs sont rares sur l’infrastructure de production moderne. Alerte lorsqu’un interpréteur de commandes interactif est démarré avec des arguments couramment utilisés pour les interpréteurs de commandes inversés. - instanceId
capsule8-alerts-dataplane User Command Logging Evasion Échapper à la journalisation des commandes est une pratique courante pour les attaquants, mais peut également indiquer qu’un utilisateur légitime effectue des actions non autorisées ou tente d’échapper à une stratégie. Alerte lorsqu’une modification de la journalisation de l’historique des commandes utilisateur est détectée, indiquant qu’un utilisateur tente d’échapper à la journalisation des commandes. - instanceId
capsule8-alerts-dataplane BPF Program Executed Détecte certains types de portes dérobées du noyau. Le chargement d’un nouveau programme Berkeley Packet Filter (BPF) peut indiquer qu’un attaquant est en train de charger un rootkit basé sur BPF pour obtenir une persistance et éviter la détection. Alerte lorsqu’un processus charge un nouveau programme BPF privilégié, si le processus fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Kernel Module Loaded Les attaquants chargent généralement des modules de noyau malveillants (rootkits) pour échapper à la détection et maintenir la persistance sur un nœud compromis. Alerte lorsqu’un module de noyau est chargé, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Suspicious Program Name Executed-Space After File Les attaquants peuvent créer ou renommer des fichiers binaires malveillants pour inclure un espace à la fin du nom dans le but d’emprunter l’identité d’un programme ou d’un service système légitime. Alerte lorsqu’un programme est exécuté avec un espace après le nom du programme. - instanceId
capsule8-alerts-dataplane Illegal Elevation Of Privileges Les codes malveillants exploitant une faille de sécurité de l’élévation des privilèges du noyau permettent généralement à un utilisateur non privilégié d’obtenir des privilèges racines sans passer de portes standard pour les modifications de privilèges. Alerte lorsqu’un programme tente d’élever des privilèges par des moyens inhabituels. Cela peut générer des alertes de faux positifs sur des nœuds dont la charge de travail est importante. - instanceId
capsule8-alerts-dataplane Kernel Exploit Les fonctions noyau internes ne sont pas accessibles aux programmes ordinaires et, si elles sont appelées, elles constituent un indicateur fort qu’un code malveillant exploitant une faille de sécurité du noyau a été exécuté et que l’attaquant a le contrôle total du nœud. Alerte lorsqu’une fonction noyau retourne de manière inattendue dans l’espace utilisateur. - instanceId
capsule8-alerts-dataplane Processor-Level Protections Disabled SMEP et SMAP sont des protections au niveau du processeur qui augmentent la difficulté de réussite des codes malveillants exploitant une faille de sécurité du noyau, et la désactivation de ces restrictions constitue une première étape courante dans les codes malveillants exploitant la faille de sécurité du noyau. Alerte lorsqu’un programme falsifie la configuration SMEP/SMAP du noyau. - instanceId
capsule8-alerts-dataplane Container Escape via Kernel Exploitation Alerte lorsqu’un programme utilise des fonctions noyau couramment utilisées dans les codes malveillants exploitant une faille de sécurité d’échappement de conteneur, indiquant qu’un attaquant élève les privilèges de l’accès au conteneur à l’accès au nœud. - instanceId
capsule8-alerts-dataplane Privileged Container Launched Les conteneurs privilégiés ont un accès direct aux ressources hôtes, ce qui a un impact plus important en cas de compromission. Alerte lorsqu’un conteneur privilégié est lancé, si le conteneur n’est pas une image privilégiée connue telle que kube-proxy. Cela peut générer des alertes indésirables pour les conteneurs privilégiés légitimes. - instanceId
capsule8-alerts-dataplane Userland Container Escape De nombreux échappements de conteneurs forcent l’hôte à exécuter un binaire dans le conteneur, ce qui permet à l’attaquant de prendre le contrôle total du nœud affecté. Alerte lorsqu’un fichier créé par un conteneur est exécuté à partir de l’extérieur d’un conteneur. - instanceId
capsule8-alerts-dataplane AppArmor Disabled In Kernel La modification de certains attributs AppArmor ne peut se produire que dans le noyau, ce qui indique qu’AppArmor a été désactivé par un code malveillant exploitant la faille de sécurité ou un rootkit. Alerte lorsque l’état AppArmor est modifié à partir de la configuration AppArmor détectée lors du démarrage du capteur. - instanceId
capsule8-alerts-dataplane AppArmor Profile Modified Les attaquants peuvent tenter de désactiver l’application des profils AppArmor afin d’échapper à la détection. Alerte lorsqu’une commande de modification d’un profil AppArmor est exécutée, si elle n’a pas été exécutée par un utilisateur dans une session SSH. - instanceId
capsule8-alerts-dataplane Boot Files Modified Si elle n’est pas effectuée par une source de confiance (par exemple, un gestionnaire de package ou un outil de gestion de la configuration), la modification des fichiers de démarrage peut indiquer qu’un attaquant modifie le noyau ou ses options afin d’obtenir un accès persistant à un hôte. Alerte lorsque des modifications sont apportées aux fichiers dans /boot, indiquant l’installation d’une nouvelle configuration de noyau ou de démarrage. - instanceId
capsule8-alerts-dataplane Log Files Deleted La suppression des journaux non effectuée par un outil de gestion des journaux peut indiquer qu’un attaquant tente de supprimer des indicateurs de compromission. Alertes lors de la suppression des fichiers journaux système. - instanceId
capsule8-alerts-dataplane New File Executed Les fichiers nouvellement créés à partir de sources autres que les programmes de mise à jour système peuvent être des portes dérobées, des code malveillant exploitant une faille de sécurité du noyau ou une partie d’une chaîne d’exploitation. Alerte lorsqu’un fichier qui a été créé ou modifié dans les 30 minutes est ensuite exécuté, à l’exclusion des fichiers créés par les programmes de mise à jour système. - instanceId
capsule8-alerts-dataplane Root Certificate Store Modified La modification du magasin de certificats racine peut indiquer l’installation d’une autorité de certification non autorisée, permettant l’interception du trafic réseau ou le contournement de la vérification de la signature de code. Alerte lorsqu’un magasin de certificats d’autorité de certification système est modifié. - instanceId
capsule8-alerts-dataplane Setuid/Setgid Bit Set On File Les bits setuid/setgid de paramétrage peuvent être utilisés pour fournir une méthode persistante d’élévation des privilèges sur un nœud. Alerte lorsque le bit setuid ou setgid est défini sur un fichier avec la famille d’appels système chmod. - instanceId
capsule8-alerts-dataplane Hidden File Created Les attaquants créent souvent des fichiers masqués pour dissimuler les outils et les charges utiles sur un hôte compromis. Alerte lorsqu’un fichier masqué est créé par un processus associé à un incident en cours. - instanceId
capsule8-alerts-dataplane Modification Of Common System Utilities Les attaquants peuvent modifier les utilitaires système afin d’exécuter des charges utiles malveillantes chaque fois que ces utilitaires sont exécutés. Alerte lorsqu’un utilitaire système courant est modifié par un processus non autorisé. - instanceId
capsule8-alerts-dataplane Network Service Scanner Executed Un attaquant ou un utilisateur non autorisé peut utiliser ou installer ces programmes pour rechercher dans les réseaux connectés des nœuds supplémentaires à compromettre. Alerte lorsque des outils de programmes d’analyse réseau courants sont exécutés. - instanceId
capsule8-alerts-dataplane Network Service Created Les attaquants peuvent démarrer un nouveau service réseau pour fournir un accès facile à un hôte après avoir été compromis. Alerte lorsqu’un programme démarre un nouveau service réseau, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Network Sniffing Program Executed Un attaquant ou un utilisateur non autorisé peut exécuter des commandes de détection réseau pour capturer des informations d’identification, des informations d’identification personnelle (PII) ou d’autres informations sensibles. Alerte lorsqu’un programme permettant la capture réseau est exécuté. - instanceId
capsule8-alerts-dataplane Remote File Copy Detected L’utilisation d’outils de transfert de fichiers peut indiquer qu’un attaquant tente de déplacer des ensembles d’outils vers des hôtes supplémentaires ou d’exfiltrer des données vers un système distant. Alerte lorsqu’un programme associé à la copie de fichiers à distance est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Unusual Outbound Connection Detected Les canaux de commande et de contrôle et les mineurs de crypto-monnaie créent souvent de nouvelles connexions réseau sortantes sur des ports inhabituels. Alerte lorsqu’un programme établit une nouvelle connexion sur un port inhabituel, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Data Archived Via Program Après avoir accédé à un système, un attaquant peut créer une archive compressée de fichiers pour réduire la taille des données à des fins d’exfiltration. Alerte lorsqu’un programme de compression de données est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Process Injection L’utilisation de techniques d’injection de processus indique généralement qu’un utilisateur est en train de déboguer un programme, mais peut également indiquer qu’un attaquant lit des secrets ou injecte du code dans d’autres processus. Alerte lorsqu’un programme utilise des mécanismes ptrace (débogage) pour interagir avec un autre processus. - instanceId
capsule8-alerts-dataplane Account Enumeration Via Program Les attaquants utilisent souvent des programmes d’énumération de comptes afin de déterminer leur niveau d’accès et de voir si d’autres utilisateurs sont actuellement connectés au nœud. Alerte lorsqu’un programme associé à l’énumération de comptes est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane File and Directory Discovery Via Program L’exploration des systèmes de fichiers est un comportement courant après l’utilisation d’un code malveillant exploitant une faille de sécurité pour un attaquant à la recherche d’informations d’identification et de données intéressantes. Alerte lorsqu’un programme associé à l’énumération de fichiers et de répertoires est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Network Configuration Enumeration Via Program Les attaquants peuvent interroger le réseau local et les informations sur les itinéraires pour identifier les hôtes et les réseaux adjacents en amont du mouvement latéral. Alerte lorsqu’un programme associé à l’énumération de configuration réseau est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Process Enumeration Via Program Les attaquants répertorient souvent les programmes en cours d’exécution afin d’identifier l’objectif d’un nœud et de savoir si des outils de sécurité ou de surveillance sont en place. Alerte lorsqu’un programme associé à l’énumération de processus est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane System Information Enumeration Via Program Les attaquants exécutent généralement des commandes d’énumération système pour déterminer les versions et fonctionnalités du noyau et de la distribution Linux, souvent pour identifier si le nœud est affecté par des vulnérabilités spécifiques. Alerte lorsqu’un programme associé à l’énumération des informations système est exécuté, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane Scheduled Tasks Modified Via Program La modification des tâches planifiées est une méthode courante pour établir la persistance sur un nœud compromis. Alerte lorsque les commandes crontab, at ou batch sont utilisées pour modifier les configurations de tâches planifiées. - instanceId
capsule8-alerts-dataplane Systemctl Usage Detected Les modifications apportées aux unités système peuvent entraîner l’assouplissement ou la désactivation des contrôles de sécurité, ou l’installation d’un service malveillant. Alerte lorsque la commande systemctl est utilisée pour modifier des unités système. - instanceId
capsule8-alerts-dataplane User Execution Of su Command L’escalade explicite vers l’utilisateur racine diminue la possibilité de mettre en corrélation l’activité privilégiée avec un utilisateur spécifique. Alerte lorsque la commande su est exécutée. - instanceId
capsule8-alerts-dataplane User Execution Of sudo Command Alerte lorsque la commande sudo est exécutée. - instanceId
capsule8-alerts-dataplane User Command History Cleared La suppression du fichier d’historique est inhabituelle, généralement effectuée par des attaquants masquant l’activité ou par des utilisateurs légitimes ayant l’intention d’échapper aux contrôles d’audit. Alerte lorsque les fichiers d’historique de ligne de commande sont supprimés. - instanceId
capsule8-alerts-dataplane New System User Added Un attaquant peut ajouter un nouvel utilisateur à un hôte pour fournir une méthode d’accès fiable. Alerte si une nouvelle entité utilisateur est ajoutée au fichier de gestion de compte local /etc/passwd, si l’entité n’est pas ajoutée par un programme de mise à jour système. - instanceId
capsule8-alerts-dataplane Password Database Modification Les attaquants peuvent modifier directement les fichiers liés à l’identité pour ajouter un nouvel utilisateur au système. Alerte lorsqu’un fichier lié aux mots de passe utilisateur est modifié par un programme non lié à la mise à jour des informations utilisateur existantes. - instanceId
capsule8-alerts-dataplane SSH Authorized Keys Modification L’ajout d’une nouvelle clé publique SSH est une méthode courante pour obtenir un accès persistant à un hôte compromis. Alerte lorsqu’une tentative d’écriture dans le fichier SSH authorized_keys d’un utilisateur est observée, si le programme fait déjà partie d’un incident en cours. - instanceId
capsule8-alerts-dataplane User Account Created Via CLI L’ajout d’un nouvel utilisateur est une étape courante pour les attaquants lors de l’établissement de la persistance sur un nœud compromis. Alerte lorsqu’un programme de gestion des identités est exécuté par un programme autre qu’un gestionnaire de package. - instanceId
capsule8-alerts-dataplane User Configuration Changes La suppression du fichier d’historique est inhabituelle, généralement effectuée par des attaquants masquant l’activité ou par des utilisateurs légitimes ayant l’intention d’échapper aux contrôles d’audit. Alerte lorsque les fichiers d’historique de ligne de commande sont supprimés. - instanceId
capsule8-alerts-dataplane New System User Added Les fichiers de profil utilisateur et de configuration sont souvent modifiés en tant que méthode de persistance afin d’exécuter un programme chaque fois qu’un utilisateur se connecte. Alerte lorsque .bash_profile et bashrc (ainsi que les fichiers connexes) sont modifiés par un programme autre qu’un outil de mise à jour système. - instanceId

Événements de surveillance antivirus

Remarque

L’objet JSON response dans ces journaux d’audit a toujours un champ result qui inclut une ligne du résultat d’analyse d’origine. Chaque résultat d’analyse est généralement représenté par plusieurs enregistrements de journal d’audit, un pour chaque ligne de la sortie d’analyse d’origine. Pour plus d’informations sur ce qui peut apparaître dans ce fichier, consultez la documentation tierce suivante.

L’événement clamAVScanService-dataplane suivant est enregistré au niveau de l’espace de travail.

Service Action Description Paramètres de la demande
clamAVScanService-dataplane clamAVScanAction La surveillance antivirus effectue une analyse. Un journal génère chaque ligne de la sortie d’analyse d’origine. - instanceId

Événements de journal déconseillés

Databricks a déconseillé les événements de diagnostic databrickssql suivants :

  • createAlertDestination (maintenant createNotificationDestination)
  • deleteAlertDestination (maintenant deleteNotificationDestination)
  • updateAlertDestination (maintenant updateNotificationDestination)
  • muteAlert
  • unmuteAlert

Journaux de point de terminaison SQL

Si vous créez des entrepôts SQL à l’aide de l’API de point de terminaison SQL dépréciée (l’ancien nom des entrepôts SQL), le nom de l’événement d’audit correspondant inclut le mot Endpoint au lieu de Warehouse. Outre le nom, ces événements sont identiques aux événements d’entrepôts SQL. Pour afficher les descriptions et les paramètres de requête de ces événements, consultez leurs événements d’entrepôt correspondants dans Événements Databricks SQL.

Les événements de point de terminaison SQL sont les suivants :

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig