Informazioni di riferimento sui log di diagnostica
Nota
Questa funzionalità richiede il Piano Premium.
Questo articolo offre un riferimento completo a servizi ed eventi del log di controllo. La disponibilità di questi servizi dipende dall’accesso ai log:
- La tabella di sistema del log di controllo registra tutti gli eventi e i servizi elencati in questo articolo.
- Il servizio impostazioni di diagnostica di Monitoraggio di Azure non registra tutti questi servizi. I servizi non disponibili nelle impostazioni di diagnostica di Azure vengono etichettati di conseguenza.
Nota
Azure Databricks conserva una copia dei log di controllo per un massimo di 1 anno a scopo di analisi della sicurezza e delle frodi.
Servizi di log di diagnostica
I servizi seguenti e i relativi eventi vengono registrati per impostazione predefinita nei log di diagnostica.
Nota
Le designazioni a livello di area di lavoro e a livello di account si applicano solo alla tabella di sistema dei log di controllo. I log di diagnostica di Azure non includono eventi a livello di account.
Servizi a livello di area di lavoro
Nome servizio | Descrizione |
---|---|
account | Eventi correlati a account, utenti, gruppi e elenchi di accesso IP. |
clusters | Eventi correlati ai cluster. |
clusterPolicies | Eventi correlati ai criteri del cluster. |
dashboard | Eventi correlati all'uso del dashboard di IA/BI. |
databrickssql | Eventi correlati all'uso di Databricks SQL. |
dataMonitoring | Eventi correlati al monitoraggio di Lakehouse. |
dbfs | Eventi correlati a DBFS. |
deltaPipelines | Eventi correlati alle pipeline della tabella Live Delta. |
featureStore | Eventi correlati all'archivio funzionalità di Databricks. |
filesystem | Eventi correlati alla gestione dei file, che include l'interazione con i file tramite l'API Files o nell'interfaccia utente dei volumi. |
genie | Eventi correlati all'accesso all'area di lavoro da parte del personale di supporto. Spazi di IA/BI non correlati. |
gitCredentials | Eventi correlati alle credenziali Git per le cartelle Git di Databricks. Vedere anche repos . |
globalInitScripts | Eventi correlati agli script init globali. |
gruppi | Eventi correlati a gruppi di account e aree di lavoro. |
iamRole | Eventi correlati alle autorizzazioni dei ruoli IAM. |
inserimento | Eventi correlati ai caricamenti di file. |
instancePools | Eventi correlati ai pool. |
jobs | Eventi correlati ai processi. |
marketplaceConsumer | Eventi correlati alle azioni degli utenti in Databricks Marketplace. |
marketplaceProvider | Eventi correlati alle azioni del provider in Databricks Marketplace. |
mlflowAcledArtifact | Eventi correlati agli artefatti di ML Flow con ACL. |
mlflowExperiment | Eventi correlati agli esperimenti di ML Flow. |
modelRegistry | Eventi correlati al Registro di sistema del modello. |
notebook | Problemi relativi ai notebook. |
partnerConnect | Eventi correlati a Partner Connect. |
predictiveOptimization | Eventi correlati all’ottimizzazione predittiva. |
remoteHistoryService | Eventi correlati all'aggiunta di una rimozione delle credenziali di GitHub. |
repos | Eventi correlati alle cartelle Git di Databricks. Vedere anche gitCredentials . |
chiavi private | Eventi correlati ai segreti. |
serverlessRealTimeInference | Eventi correlati alla gestione del modello. |
sqlPermissions | Eventi correlati al controllo di accesso alla tabella del metastore Hive legacy. |
ssh | Eventi correlati all'accesso SSH. |
vectorSearch | Eventi correlati a Ricerca vettoriale. |
webTerminal | Eventi correlati alla funzionalità del terminale web. |
workspace | Eventi correlati alle aree di lavoro. |
Servizi a livello di account
I log di controllo a livello di account sono disponibili per questi servizi:
Nome servizio | Descrizione |
---|---|
accountBillableUsage | Azioni correlate all'accesso all'utilizzo fatturabile nella console dell'account. |
accountsAccessControl | Azioni correlate alle regole di controllo di accesso a livello di account. |
accountsManager | Azioni correlate alle configurazioni di connettività di rete. |
budgetPolicyCentral | Azioni correlate alla gestione dei criteri di budget. |
unityCatalog | Azioni eseguite nel catalogo Unity. Sono inclusi anche gli eventi di Delta Sharing, vedere Eventi di Delta Sharing. |
Servizi di monitoraggio della sicurezza aggiuntivi
Sono disponibili servizi aggiuntivi e azioni associate per le aree di lavoro che usano il profilo di sicurezza della conformità (necessario per alcuni standard di conformità, ad esempio FedRAMP, PCI e HIPAA) o il monitoraggio avanzato della sicurezza.
Si tratta di servizi a livello di area di lavoro che verranno generati solo nei log se si usa il profilo di sicurezza di conformità o il monitoraggio della sicurezza avanzata:
Nome servizio | Descrizione |
---|---|
capsule8-alerts-dataplane | Azioni correlate al monitoraggio dell'integrità dei file. |
clamAVScanService-dataplane | Azioni correlate al monitoraggio antivirus. |
Schema di esempio del log di diagnostica
In Azure Databricks, i log di diagnostica generano eventi di output in un formato JSON. In Azure Databricks, i log di controllo registrano gli eventi di output in un formato JSON. Le proprietà serviceName
e actionName
identificano l'associazione. La convenzione di denominazione segue l'API REST di Databricks.
L'esempio JSON seguente è un esempio di evento registrato quando un utente ha creato un processo:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Considerazioni sullo schema dei log di diagnostica
- Se le azioni richiedono molto tempo, la richiesta e la risposta vengono registrate separatamente, ma la coppia richiesta e risposta hanno lo stesso
requestId
. - Le azioni automatizzate, ad esempio il ridimensionamento di un cluster a causa della scalabilità automatica o dell'avvio di un processo a causa della pianificazione, vengono eseguite dall'utente
System-User
. - Il
requestParams
campo è soggetto a troncamento. Se le dimensioni della relativa rappresentazione JSON superano 100 KB, i valori vengono troncati e la stringa... truncated
viene aggiunta alle voci troncate. In rari casi in cui una mappa troncata è ancora maggiore di 100 KB, è presente una singolaTRUNCATED
chiave con un valore vuoto.
Eventi dell'account
Di seguito sono riportati accounts
gli eventi registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
accounts |
activateUser |
Un utente viene riattivato dopo essere stato disattivato. Vedere Disattivare gli utenti nell'area di lavoro. | - targetUserName - endpoint - targetUserId |
accounts |
aadBrowserLogin |
Un utente accede a Databricks usando un flusso di lavoro del browser Microsoft Entra ID. | - user |
accounts |
aadTokenLogin |
Un utente accede a Databricks tramite il token Microsoft Entra ID. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Un client OAuth viene autenticato. | - endpoint |
accounts |
activateUser |
L'amministratore aggiunge un utente all'account Databricks dal portale di Azure. | - warehouse - targetUserName - targetUserId |
accounts |
add |
Un utente viene aggiunto a un'area di lavoro di Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Un utente viene aggiunto a un gruppo a livello di area di lavoro. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
changeDatabricksSqlAcl |
Le autorizzazioni SQL di Databricks di un utente vengono modificate. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Le autorizzazioni per un'area di lavoro vengono modificate. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDbTokenAcl |
Quando vengono modificate le autorizzazioni per un token. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Quando vengono modificate le autorizzazioni di un'entità servizio. | - shardName - targetServicePrincipal - resourceId - aclPermissionSet |
accounts |
createGroup |
Viene creato un gruppo a livello di area di lavoro. | - endpoint - targetGroupId - targetGroupName |
accounts |
createIpAccessList |
Un elenco di accesso IP viene aggiunto all'area di lavoro. | - ipAccessListId - userId |
accounts |
deactivateUser |
Un utente viene disattivato nell'area di lavoro. Vedere Disattivare gli utenti nell'area di lavoro. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Un utente viene eliminato dall'area di lavoro di Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteIpAccessList |
Un elenco di accesso IP viene eliminato dall'area di lavoro. | - ipAccessListId - userId |
accounts |
garbageCollectDbToken |
Un utente esegue un comando di garbage collect sui token scaduti. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
Quando un utente genera un token da Impostazioni utente o quando il servizio genera il token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
IpAccessDenied |
Un utente tenta di connettersi al servizio tramite un indirizzo IP negato. | - path - userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
L'utente accede a Databricks usando un token JWT. | - user |
accounts |
login |
L'utente accede all'area di lavoro. | - user |
accounts |
logout |
L'utente si disconnette dall'area di lavoro. | - user |
accounts |
oidcTokenAuthorization |
Quando una chiamata API è autorizzata tramite un token OIDC/OAuth generico. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Quando il numero corrente di token non scaduti supera la quota di token | |
accounts |
removeAdmin |
Un utente viene revocato delle autorizzazioni di amministratore dell'area di lavoro. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Un gruppo viene rimosso dall'area di lavoro. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
L'utente viene rimosso dal gruppo. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
revokeDbToken |
Il token di un utente viene eliminato da un'area di lavoro. Può essere attivato da un utente rimosso dall'account Databricks. | - userId |
accounts |
setAdmin |
A un utente sono concesse autorizzazioni di amministratore dell'account. | - endpoint - targetUserName - targetUserId |
accounts |
tokenLogin |
Un utente accede a Databricks usando un token. | - tokenId - user |
accounts |
updateIpAccessList |
Viene modificato un elenco di accesso IP. | - ipAccessListId - userId |
accounts |
updateUser |
Viene apportata una modifica all'account di un utente. | - warehouse - targetUserName - targetUserId |
accounts |
validateEmail |
Quando un utente convalida la posta elettronica dopo la creazione dell'account. | - endpoint - targetUserName - targetUserId |
Eventi del cluster
Di seguito sono riportati cluster
gli eventi registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
clusters |
changeClusterAcl |
Un utente modifica l'ACL del cluster. | - shardName - aclPermissionSet - targetUserId - resourceId |
clusters |
create |
Un utente crea un cluster. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
createResult |
Risultati della creazione del cluster. In combinazione con create . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
delete |
Un cluster è terminato. | - cluster_id |
clusters |
deleteResult |
Risultati dalla terminazione del cluster. In combinazione con delete . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
edit |
Un utente apporta modifiche alle impostazioni del cluster. In questo modo vengono registrate tutte le modifiche, ad eccezione delle modifiche apportate alle dimensioni del cluster o al comportamento di scalabilità automatica. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
permanentDelete |
Un cluster viene eliminato dall'interfaccia utente. | - cluster_id |
clusters |
resize |
Ridimensionare i cluster. Viene eseguito l'accesso ai cluster in esecuzione in cui l'unica proprietà modificata è la dimensione del cluster o il comportamento di scalabilità automatica. | - cluster_id - num_workers - autoscale |
clusters |
resizeResult |
Risultati dal ridimensionamento del cluster. In combinazione con resize . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
restart |
Un utente riavvia un cluster in esecuzione. | - cluster_id |
clusters |
restartResult |
Risultati dal riavvio del cluster. In combinazione con restart . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
start |
Un utente avvia un cluster. | - init_scripts_safe_mode - cluster_id |
clusters |
startResult |
Risultati dall'avvio del cluster. In combinazione con start . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
Eventi delle librerie cluster
Di seguito sono riportati clusterLibraries
gli eventi registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
clusterLibraries |
installLibraries |
Come installare una libreria in un cluster. | - cluster_id - libraries |
clusterLibraries |
uninstallLibraries |
L'utente disinstalla una libreria in un cluster. | - cluster_id - libraries |
clusterLibraries |
installLibraryOnAllClusters |
Un amministratore dell'area di lavoro pianifica l'installazione di una libreria in tutto il cluster. | - user - library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Un amministratore dell'area di lavoro rimuove una raccolta dall'elenco da installare in tutti i cluster. | - user - library |
Eventi dei criteri del cluster
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Di seguito sono riportati clusterPolicies
gli eventi registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
clusterPolicies |
create |
Un utente ha creato un criterio del cluster. | - name |
clusterPolicies |
edit |
Un utente ha modificato un criterio del cluster. | - policy_id - name |
clusterPolicies |
delete |
Un utente ha eliminato un criterio del cluster. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Un amministratore dell'area di lavoro modifica le autorizzazioni per i criteri del cluster. | - shardName - targetUserId - resourceId - aclPermissionSet |
Eventi Dashboard
Di seguito sono riportati dashboards
gli eventi registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
dashboards |
getDashboard |
Un utente accede alla versione bozza di un dashboard visualizzandolo nell'interfaccia utente o richiedendo la definizione del dashboard usando l'API. Solo gli utenti dell'area di lavoro possono accedere alla versione bozza di un dashboard. | - dashboard_id |
dashboards |
getPublishedDashboard |
Un utente accede alla versione pubblicata di un dashboard visualizzando nell'interfaccia utente o richiedendo la definizione del dashboard usando l'API. Include l'attività sia degli utenti dell'area di lavoro che degli utenti dell'account. Esclude la ricezione di uno snapshot PDF di un dashboard tramite posta elettronica pianificata. | - dashboard_id - credentials_embedded |
dashboards |
executeQuery |
Un utente esegue una query da un dashboard. | - dashboard_id - statement_id |
dashboards |
cancelQuery |
Un utente annulla una query da un dashboard. | - dashboard_id - statement_id |
dashboards |
getQueryResult |
Un utente riceve i risultati di una query da un dashboard. | - dashboard_id - statement_id |
dashboards |
sendDashboardSnapshot |
Uno snapshot PDF di un dashboard viene inviato tramite un messaggio di posta elettronica pianificato. I valori dei parametri della richiesta dipendono dal tipo di destinatario. Per una destinazione di notifica di Databricks, viene visualizzato solo destination_id . Per un utente di Databricks, vengono visualizzati l'ID utente e l'indirizzo di posta elettronica del sottoscrittore. Se il destinatario è un indirizzo di posta elettronica, viene visualizzato solo l'indirizzo di posta elettronica. |
- dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id ,email_address } |
dashboards |
getDashboardDetails |
Un utente accede ai dettagli di un dashboard bozza, ad esempio set di dati e widget. getDashboardDetails viene sempre generato quando un utente visualizza un dashboard bozza usando l'interfaccia utente o richiede la definizione del dashboard usando l'API. |
- dashboard_id |
dashboards |
createDashboard |
Un utente crea un nuovo dashboard di intelligenza artificiale/BI usando l'interfaccia utente o l'API. | - dashboard_id |
dashboards |
updateDashboard |
Un utente esegue un aggiornamento a un dashboard di intelligenza artificiale/BI usando l'interfaccia utente o l'API. | - dashboard_id |
dashboards |
cloneDashboard |
Un utente clona un dashboard di intelligenza artificiale/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
publishDashboard |
Un utente pubblica un dashboard di intelligenza artificiale/BI con o senza credenziali incorporate usando l'interfaccia utente o l'API. | - dashboard_id - credentials_embedded - warehouse_id |
dashboards |
unpublishDashboard |
Un utente annulla la pubblicazione di un dashboard di intelligenza artificiale/BI pubblicato usando l'interfaccia utente o l'API. | - dashboard_id |
dashboards |
trashDashboard |
Un utente sposta un dashboard di intelligenza artificiale/BI nel cestino usando l'interfaccia utente o l'API. | - dashboard_id |
dashboards |
restoreDashboard |
Un utente ripristina un dashboard di intelligenza artificiale/BI dal cestino. | - dashboard_id |
dashboards |
migrateDashboard |
Un utente esegue la migrazione di un dashboard DBSQL a un dashboard di intelligenza artificiale/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
createSchedule |
Un utente crea una pianificazione della sottoscrizione di posta elettronica. | - dashboard_id - schedule_id |
dashboards |
updateSchedule |
Un utente effettua un aggiornamento alla pianificazione di un dashboard di intelligenza artificiale/BI. | - dashboard_id - schedule_id |
dashboards |
deleteSchedule |
Un utente elimina la pianificazione di un dashboard di intelligenza artificiale/BI. | - dashboard_id - schedule_id |
dashboards |
createSubscription |
Un utente sottoscrive una destinazione di posta elettronica a una pianificazione del dashboard di intelligenza artificiale/BI. | - dashboard_id - schedule_id - schedule |
dashboards |
deleteSubscription |
Un utente elimina una destinazione di posta elettronica da una pianificazione del dashboard di intelligenza artificiale/BI. | - dashboard_id - schedule_id |
Eventi SQL di Databricks
Di seguito sono riportati databrickssql
gli eventi registrati a livello di area di lavoro.
Nota
Se si gestiscono i warehouse SQL usando l'API degli endpoint SQL legacy, gli eventi di controllo di SQL warehouse avranno nomi di azione diversi. Vedere Log degli endpoint SQL.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
databrickssql |
addDashboardWidget |
Un widget viene aggiunto a un dashboard. | - dashboardId - widgetId |
databrickssql |
cancelQueryExecution |
Un'esecuzione di query viene annullata dall'interfaccia utente dell'editor SQL. Non sono inclusi gli annullamenti che si originano dall'interfaccia utente della cronologia delle query o dall'API di esecuzione SQL di Databricks. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Un responsabile del warehouse aggiorna le autorizzazioni per un'istanza di SQL warehouse. | - aclPermissionSet - resourceId - shardName - targetUserId |
databrickssql |
changePermissions |
Un utente aggiorna le autorizzazioni per un oggetto. | - granteeAndPermission - objectId - objectType |
databrickssql |
cloneDashboard |
Un utente clona un dashboard. | - dashboardId |
databrickssql |
commandSubmit |
Solo nei log di controllo dettagliati. Generato quando un comando viene inviato a un'istanza di SQL warehouse, indipendentemente dall'origine della richiesta. | - warehouseId - commandId - validation - commandText |
databrickssql |
commandFinish |
Solo nei log di controllo dettagliati. Generato quando un comando in un'istanza di SQL warehouse viene completato o annullato, indipendentemente dall'origine della richiesta di annullamento. | - warehouseId - commandId |
databrickssql |
createAlert |
Un utente crea un avviso. | - alertId |
databrickssql |
createNotificationDestination |
Un amministratore dell'area di lavoro crea una destinazione di notifica. | - notificationDestinationId - notificationDestinationType |
databrickssql |
createDashboard |
Un utente crea un dashboard. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Un utente crea un dashboard di anteprima dei dati. | - dashboardId |
databrickssql |
createWarehouse |
Un utente con il diritto di creazione del cluster crea un'istanza di SQL warehouse. | - auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides |
databrickssql |
createQuery |
Un utente crea una nuova query. | - queryId |
databrickssql |
createQueryDraft |
Un utente crea una bozza di query. | - queryId |
databrickssql |
createQuerySnippet |
Un utente crea un frammento di query. | - querySnippetId |
databrickssql |
createSampleDashboard |
Un utente crea un dashboard di esempio. | - sampleDashboardId |
databrickssql |
createVisualization |
Un utente genera una visualizzazione usando l'editor SQL. Esclude le tabelle e le visualizzazioni dei risultati predefinite nei notebook che usano SQL Warehouse. | - queryId - visualizationId |
databrickssql |
deleteAlert |
Un utente elimina un avviso dall'interfaccia di avviso o tramite l'API. Esclude le eliminazioni dall'interfaccia utente del browser file. | - alertId |
databrickssql |
deleteNotificationDestination |
Un amministratore dell'area di lavoro elimina una destinazione di notifica. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Un utente elimina un dashboard dall'interfaccia del dashboard o tramite l'API. Esclude l'eliminazione tramite l'interfaccia utente del browser file. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Un utente elimina un widget del dashboard. | - widgetId |
databrickssql |
deleteWarehouse |
Un responsabile del warehouse elimina un'istanza di SQL warehouse. | - id |
databrickssql |
deleteQuery |
Un utente elimina una query dall'interfaccia di query o tramite l'API. Esclude l'eliminazione tramite l'interfaccia utente del browser file. | - queryId |
databrickssql |
deleteQueryDraft |
Un utente elimina una bozza di query. | - queryId |
databrickssql |
deleteQuerySnippet |
Un utente elimina un frammento di query. | - querySnippetId |
databrickssql |
deleteVisualization |
Un utente elimina una visualizzazione da una query nell'editor SQL. | - visualizationId |
databrickssql |
downloadQueryResult |
Un utente scarica un risultato della query dall'editor SQL. Esclude i download dai dashboard. | - fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId |
databrickssql |
editWarehouse |
Un responsabile del magazzino apporta modifiche a un data warehouse SQL. | - auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags |
databrickssql |
executeAdhocQuery |
Generato da uno dei seguenti elementi: - Un utente esegue una bozza di query nell'editor SQL - Una query viene eseguita da un'aggregazione di visualizzazione - Un utente carica un dashboard ed esegue query sottostanti |
- dataSourceId |
databrickssql |
executeSavedQuery |
Un utente esegue una query salvata. | - queryId |
databrickssql |
executeWidgetQuery |
Generato da qualsiasi evento che esegue una query in modo che un pannello del dashboard venga aggiornato. Gli esempi di questo approccio includono: - Aggiornamento di un singolo pannello - Aggiornamento di un intero dashboard - Esecuzioni pianificate del dashboard - Modifiche ai parametri o ai filtri che operano su più di 64.000 righe |
- widgetId |
databrickssql |
favoriteDashboard |
Un utente preferisce un dashboard. | - dashboardId |
databrickssql |
favoriteQuery |
Un utente preferisce una query. | - queryId |
databrickssql |
forkQuery |
Un utente clona una query. | - originalQueryId - queryId |
databrickssql |
listQueries |
Un utente apre la pagina di presentazione delle query o chiama l'API di query elenco. | - filter_by - include_metrics - max_results - page_token |
databrickssql |
moveAlertToTrash |
Un utente sposta un avviso nel cestino. | - alertId |
databrickssql |
moveDashboardToTrash |
Un utente sposta un dashboard nel cestino. | - dashboardId |
databrickssql |
moveQueryToTrash |
Un utente sposta una query nel cestino. | - queryId |
databrickssql |
restoreAlert |
Un utente ripristina un avviso dal cestino. | - alertId |
databrickssql |
restoreDashboard |
Un utente ripristina un dashboard dal cestino. | - dashboardId |
databrickssql |
restoreQuery |
Un utente ripristina una query dal cestino. | - queryId |
databrickssql |
setWarehouseConfig |
Un responsabile del warehouse imposta la configurazione per un'istanza di SQL warehouse. | - data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Un utente richiede uno snapshot di un dashboard. Include snapshot del dashboard pianificati. | - dashboardId |
databrickssql |
startWarehouse |
Istanza di SQL warehouse avviata. | - id |
databrickssql |
stopWarehouse |
Un responsabile del warehouse arresta un'istanza di SQL Warehouse. Esclude i magazzini compressi automaticamente. | - id |
databrickssql |
transferObjectOwnership |
Un amministratore dell'area di lavoro trasferisce la proprietà di un dashboard, di una query o di un avviso a un utente attivo tramite l'API di proprietà dell'oggetto di trasferimento. Il trasferimento della proprietà eseguito tramite l'interfaccia utente o le API di aggiornamento non viene acquisito da questo evento del log di controllo. | - newOwner - objectId - objectType |
databrickssql |
unfavoriteDashboard |
Un utente rimuove un dashboard dai preferiti. | - dashboardId |
databrickssql |
unfavoriteQuery |
Un utente rimuove una query dai preferiti. | - queryId |
databrickssql |
updateAlert |
Un utente effettua aggiornamenti a un avviso. ownerUserName viene popolato se la proprietà dell'avviso viene trasferita tramite l'API. |
- alertId - queryId - ownerUserName |
databrickssql |
updateNotificationDestination |
Un amministratore dell'area di lavoro esegue un aggiornamento a una destinazione di notifica. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Un utente esegue un aggiornamento a un widget del dashboard. Esclude le modifiche alle scale dell'asse. Esempi di aggiornamenti applicabili includono: - Passare alla dimensione o al posizionamento del widget - Aggiunta o rimozione di parametri del widget |
- widgetId |
databrickssql |
updateDashboard |
Un utente esegue un aggiornamento a una proprietà del dashboard. Esclude le modifiche alle pianificazioni e alle sottoscrizioni. Esempi di aggiornamenti applicabili includono: - Modificare il nome del dashboard - Passare a SQL warehouse - Passare all'impostazione Esegui come |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Un amministratore dell'area di lavoro apporta aggiornamenti alle impostazioni SQL dell'area di lavoro. | - has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions |
databrickssql |
updateQuery |
Un utente esegue un aggiornamento a una query. ownerUserName viene popolato se la proprietà della query viene trasferita tramite l'API. |
- queryId - ownerUserName |
databrickssql |
updateQueryDraft |
Un utente esegue un aggiornamento a una bozza di query. | - queryId |
databrickssql |
updateQuerySnippet |
Un utente esegue un aggiornamento a un frammento di query. | - querySnippetId |
databrickssql |
updateVisualization |
Un utente aggiorna una visualizzazione dall'editor SQL o dal dashboard. | - visualizationId |
Eventi di monitoraggio dei dati
Gli eventi seguenti dataMonitoring
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
dataMonitoring |
CreateMonitor |
L'utente crea un monitoraggio. | - data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log |
dataMonitoring |
UpdateMonitor |
L'utente esegue un aggiornamento a un monitoraggio. | - data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs |
dataMonitoring |
DeleteMonitor |
L'utente elimina un monitor. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
Il monitoraggio viene aggiornato, in base alla pianificazione o manualmente. | - full_table_name_arg |
Eventi DBFS
Le tabelle seguenti includono dbfs
gli eventi registrati a livello di area di lavoro.
Esistono due tipi di eventi DBFS: chiamate API ed eventi operativi.
Eventi dell'API DBFS
Gli eventi di controllo DBFS seguenti vengono registrati solo quando vengono scritti tramite l'API REST DBFS.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
dbfs |
addBlock |
L'utente aggiunge un blocco di dati al flusso. Viene usato insieme a dbfs/create per trasmettere dati a DBFS. | - handle - data_length |
dbfs |
create |
L'utente apre un flusso per scrivere un file in file DBFs. | - path - bufferSize - overwrite |
dbfs |
delete |
L'utente elimina il file o la directory dalle funzioni DBFs. | - recursive - path |
dbfs |
mkdirs |
L'utente crea una nuova directory DBFS. | - path |
dbfs |
move |
L'utente sposta un file da un percorso a un altro all'interno di file DBFs. | - dst - source_path - src - destination_path |
dbfs |
put |
L'utente carica un file tramite l'uso di post di modulo multipart in file DBFs. | - path - overwrite |
Eventi operativi DBFS
Gli eventi di controllo DBFS seguenti si verificano nel piano di calcolo.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
dbfs |
mount |
L'utente crea un punto di montaggio in una determinata posizione DBFS. | - mountPoint - owner |
dbfs |
unmount |
L'utente rimuove un punto di montaggio in una determinata posizione DBFS. | - mountPoint |
Eventi delle pipeline delta
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
deltaPipelines |
changePipelineAcls |
Un utente modifica le autorizzazioni per una pipeline. | - shardId - targetUserId - resourceId - aclPermissionSet |
deltaPipelines |
create |
Un utente crea una pipeline di tabelle Live Delta. | - allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon |
deltaPipelines |
delete |
Un utente elimina una pipeline di tabelle Live Delta. | - pipeline_id |
deltaPipelines |
edit |
Un utente modifica una pipeline di tabelle Live Delta. | - allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon |
deltaPipelines |
startUpdate |
Un utente riavvia una pipeline di tabelle Live Delta. | - cause - full_refresh - job_task - pipeline_id |
deltaPipelines |
stop |
Un utente arresta una pipeline di tabelle Live Delta. | - pipeline_id |
Eventi dell’archivio delle funzionalità
Gli eventi seguenti featureStore
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
featureStore |
addConsumer |
Un consumer viene aggiunto all'archivio funzionalità. | - features - job_run - notebook |
featureStore |
addDataSources |
Un'origine dati viene aggiunta a una tabella delle funzionalità. | - feature_table - paths, tables |
featureStore |
addProducer |
Un producer viene aggiunto a una tabella delle funzionalità. | - feature_table - job_run - notebook |
featureStore |
changeFeatureTableAcl |
Le autorizzazioni vengono modificate in una tabella delle funzionalità. | - aclPermissionSet - resourceId - shardName - targetUserId |
featureStore |
createFeatureTable |
Viene creata una tabella delle funzionalità. | - description - name - partition_keys - primary_keys - timestamp_keys |
featureStore |
createFeatures |
Le funzionalità vengono create in una tabella delle funzionalità. | - feature_table - features |
featureStore |
deleteFeatureTable |
Viene eliminata una tabella delle funzionalità. | - name |
featureStore |
deleteTags |
I tag vengono eliminati da una tabella delle funzionalità. | - feature_table_id - keys |
featureStore |
getConsumers |
Un utente effettua una chiamata per ottenere i consumer in una tabella di funzionalità. | - feature_table |
featureStore |
getFeatureTable |
Un utente effettua una chiamata per ottenere le tabelle delle funzionalità. | - name |
featureStore |
getFeatureTablesById |
Un utente effettua una chiamata per ottenere gli ID tabella delle funzionalità. | - ids |
featureStore |
getFeatures |
Un utente effettua una chiamata per ottenere le funzionalità. | - feature_table - max_results |
featureStore |
getModelServingMetadata |
Un utente effettua una chiamata per ottenere i metadati Model Serving. | - feature_table_features |
featureStore |
getOnlineStore |
Un utente effettua una chiamata per ottenere i dettagli del negozio online. | - cloud - feature_table - online_table - store_type |
featureStore |
getTags |
Un utente effettua una chiamata per ottenere tag per una tabella delle funzionalità. | - feature_table_id |
featureStore |
publishFeatureTable |
Viene pubblicata una tabella delle funzionalità. | - cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix |
featureStore |
searchFeatureTables |
Un utente cerca le tabelle delle funzionalità. | - max_results - page_token - text |
featureStore |
setTags |
I tag vengono aggiunti a una tabella delle funzionalità. | - feature_table_id - tags |
featureStore |
updateFeatureTable |
Viene aggiornata una tabella delle funzionalità. | - description - name |
Eventi di file
Gli eventi seguenti filesystem
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
filesystem |
filesGet |
L'utente scarica un file usando l'API Files o l'interfaccia utente dei volumi. | - path - transferredSize |
filesystem |
filesPut |
L'utente carica un file usando l'API Files o l'interfaccia utente dei volumi. | - path - receivedSize |
filesystem |
filesDelete |
L'utente elimina un file usando l'API Files o l'interfaccia utente dei volumi. | - path |
filesystem |
filesHead |
L'utente ottiene informazioni su un file usando l'API Files o l'interfaccia utente dei volumi. | - path |
Eventi Genie
Gli eventi seguenti genie
vengono registrati a livello di area di lavoro.
Nota
Questo servizio non è correlato agli spazi di intelligenza artificiale/BI Genie.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
genie |
databricksAccess |
Un personale di Databricks è autorizzato ad accedere a un ambiente del cliente. | - duration - approver - reason - authType - user |
Eventi delle credenziali Git
Gli eventi seguenti gitCredentials
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
gitCredentials |
getGitCredential |
Un utente ottiene credenziali git. | - id |
gitCredentials |
listGitCredentials |
Un utente elenca tutte le credenziali git | Nessuno |
gitCredentials |
deleteGitCredential |
Un utente elimina una credenziale git. | - id |
gitCredentials |
updateGitCredential |
Un utente aggiorna una credenziale git. | - id - git_provider - git_username |
gitCredentials |
createGitCredential |
Un utente crea una credenziale git. | - git_provider - git_username |
Eventi script init globali
Gli eventi seguenti globalInitScripts
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
globalInitScripts |
create |
Un amministratore dell'area di lavoro crea uno script di inizializzazione globale. | - name - position - script-SHA256 - enabled |
globalInitScripts |
update |
Un amministratore dell'area di lavoro aggiorna uno script di inizializzazione globale. | - script_id - name - position - script-SHA256 - enabled |
globalInitScripts |
delete |
Un amministratore dell'area di lavoro elimina uno script di inizializzazione globale. | - script_id |
Eventi del gruppo
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti groups
vengono registrati a livello di area di lavoro. Queste azioni sono correlate ai gruppi ACL legacy. Per le azioni correlate ai gruppi a livello di account e di area di lavoro, vedere Eventi account ed Eventi account a livello di account.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
groups |
addPrincipalToGroup |
Un amministratore aggiunge un utente a un gruppo. | - user_name - parent_name |
groups |
createGroup |
Un amministratore crea un gruppo. | - group_name |
groups |
getGroupMembers |
Un amministratore visualizza i membri del gruppo. | - group_name |
groups |
getGroups |
Un amministratore visualizza un elenco di gruppi | Nessuno |
groups |
getInheritedGroups |
Un amministratore visualizza gruppi ereditati | Nessuno |
groups |
removeGroup |
Un amministratore rimuove un gruppo. | - group_name |
Eventi del ruolo IAM
L'evento seguente iamRole
viene registrato a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
iamRole |
changeIamRoleAcl |
Un amministratore dell'area di lavoro modifica le autorizzazioni per un ruolo IAM. | - targetUserId - shardName - resourceId - aclPermissionSet |
Inserimento di eventi
L'evento seguente ingestion
viene registrato a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
ingestion |
proxyFileUpload |
Un utente carica un file nell'area di lavoro di Azure Databricks. | - x-databricks-content-length-0 - x-databricks-total-files |
Eventi del pool di istanze
Gli eventi seguenti instancePools
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
instancePools |
changeInstancePoolAcl |
Un utente modifica le autorizzazioni di un pool di istanze. | - shardName - resourceId - targetUserId - aclPermissionSet |
instancePools |
create |
Un utente crea un pool di istanze. | - enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes |
instancePools |
delete |
Un utente elimina un pool di istanze. | - instance_pool_id |
instancePools |
edit |
Un utente modifica un pool di istanze. | - instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes |
Eventi di processo
Gli eventi seguenti jobs
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
jobs |
cancel |
Un'esecuzione del processo viene annullata. | - run_id |
jobs |
cancelAllRuns |
Un utente annulla tutte le esecuzioni in un processo. | - job_id |
jobs |
changeJobAcl |
Un utente aggiorna le autorizzazioni per un processo. | - shardName - aclPermissionSet - resourceId - targetUserId |
jobs |
create |
Un utente crea un processo. | - spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as |
jobs |
delete |
Un utente elimina un processo. | - job_id |
jobs |
deleteRun |
Un utente elimina un'esecuzione del processo. | - run_id |
jobs |
getRunOutput |
Un utente effettua una chiamata API per ottenere un output di esecuzione. | - run_id - is_from_webapp |
jobs |
repairRun |
Un utente ripristina un'esecuzione del processo. | - run_id - latest_repair_id - rerun_tasks |
jobs |
reset |
Un processo viene reimpostato. | - job_id - new_settings |
jobs |
resetJobAcl |
Un utente richiede la modifica delle autorizzazioni di un processo. | - grants - job_id |
jobs |
runCommand |
Disponibile quando sono abilitati i log di controllo dettagliati. Generato dopo l'esecuzione di un comando in un notebook da parte di un processo. Un comando corrisponde a una cella in un notebook. | - jobId - runId - notebookId - executionTime - status - commandId - commandText |
jobs |
runFailed |
Un'esecuzione del processo ha esito negativo. | - jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName |
jobs |
runNow |
Un utente attiva un'esecuzione di processo su richiesta. | - notebook_params - job_id - jar_params - workflow_context |
jobs |
runStart |
Generato all'avvio di un'esecuzione del processo dopo la convalida e la creazione del cluster. I parametri della richiesta generati da questo evento dipendono dal tipo di attività nel processo. Oltre ai parametri elencati, possono includere: - dashboardId (per un'attività dashboard SQL)- filePath (per un'attività file SQL)- notebookPath (per un'attività notebook)- mainClassName (per un'attività Spark JAR)- pythonFile (per un'attività Spark JAR)- projectDirectory (per un'attività dbt)- commands (per un'attività dbt)- packageName (per un'attività ruota di Python)- entryPoint (per un'attività ruota di Python)- pipelineId (per un'attività della pipeline)- queryIds (per un'attività di query SQL)- alertId (per un'attività di avviso SQL) |
- taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName |
jobs |
runSucceeded |
Un processo ha esito positivo. | - idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName |
jobs |
runTriggered |
Una pianificazione del processo viene attivata automaticamente in base alla pianificazione o al trigger. | - jobId - jobTriggeredType - runId |
jobs |
sendRunWebhook |
Un webhook viene inviato all'avvio, al completamento o all'esito negativo del processo. | - orgId - jobId - jobWebhookId - jobWebhookEvent - runId |
jobs |
setTaskValue |
Un utente imposta i valori per un'attività. | - run_id - key |
jobs |
submitRun |
Un utente invia un'esecuzione una tantum tramite l'API. | - shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task |
jobs |
update |
Un utente modifica le impostazioni di un processo. | - job_id - fields_to_remove - new_settings - is_from_dlt |
Eventi utente Marketplace
Gli eventi seguenti marketplaceConsumer
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
marketplaceConsumer |
getDataProduct |
Un utente ottiene l'accesso a un prodotto dati tramite Databricks Marketplace. | - listing_id - listing_name - share_name - catalog_name - request_context : matrice di informazioni sull'account e sul metastore che hanno ottenuto l'accesso al prodotto dati |
marketplaceConsumer |
requestDataProduct |
Un utente richiede l'accesso a un prodotto dati che richiede l'approvazione del provider. | - listing_id - listing_name - catalog_name - request_context : matrice di informazioni sull'account e sul metastore che richiede l'accesso al prodotto dati |
Eventi operatore Marketplace
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti marketplaceProvider
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
marketplaceProvider |
createListing |
Un amministratore del metastore crea un elenco nel profilo del provider. | - listing : matrice di dettagli sull'elenco- request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
updateListing |
Un amministratore del metastore esegue un aggiornamento a un elenco nel profilo del provider. | - id - listing : matrice di dettagli sull'elenco- request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
deleteListing |
Un amministratore del metastore elimina un elenco nel profilo del provider. | - id - request_context : matrice di dettagli sull'account e il metastore del provider |
marketplaceProvider |
updateConsumerRequestStatus |
Gli amministratori del metastore approvano o negano una richiesta di prodotto dati. | - listing_id - request_id - status - reason - share : matrice di informazioni sulla condivisione- request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
createProviderProfile |
Un amministratore del metastore crea un profilo del provider. | - provider : matrice di informazioni sul provider- request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
updateProviderProfile |
Un amministratore del metastore esegue un aggiornamento al profilo del provider. | - id - provider : matrice di informazioni sul provider- request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
deleteProviderProfile |
Un amministratore del metastore elimina il profilo del provider. | - id - request_context : matrice di informazioni sull'account e il metastore del provider |
marketplaceProvider |
uploadFile |
Un provider carica un file nel profilo del provider. | - request_context : matrice di informazioni sull'account e il metastore del provider- marketplace_file_type - display_name - mime_type - file_parent : matrice di dettagli padre del file |
marketplaceProvider |
deleteFile |
Un provider elimina un file dal profilo del provider. | - file_id - request_context : matrice di informazioni sull'account e il metastore del provider |
Artefatti MLflow con eventi ACL
Gli eventi seguenti mlflowAcledArtifact
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Un utente effettua una chiamata per leggere un artefatto. | - artifactLocation - experimentId - runId |
mlflowAcledArtifact |
writeArtifact |
Un utente effettua una chiamata per scrivere in un artefatto. | - artifactLocation - experimentId - runId |
Eventi per esperimenti MLflow
Gli eventi seguenti mlflowExperiment
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Un utente crea un esperimento MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Un utente elimina un esperimento MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
moveMlflowExperiment |
Un utente sposta un esperimento MLflow. | - newPath - experimentId - oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Un utente ripristina un esperimento MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
renameMlflowExperiment |
Un utente rinomina un esperimento MLflow. | - oldName - newName - experimentId - parentPath |
Eventi registro di modello MLflow
Gli eventi seguenti mlflowModelRegistry
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
modelRegistry |
approveTransitionRequest |
Un utente approva una richiesta di transizione della fase della versione del modello. | - name - version - stage - archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Un utente aggiorna le autorizzazioni per un modello registrato. | - registeredModelId - userId |
modelRegistry |
createComment |
Un utente pubblica un commento su una versione del modello. | - name - version |
modelRegistry |
createModelVersion |
Un utente crea una versione del modello. | - name - source - run_id - tags - run_link |
modelRegistry |
createRegisteredModel |
Un utente crea un nuovo modello registrato | - name - tags |
modelRegistry |
createRegistryWebhook |
L'utente crea un webhook per gli eventi del Registro modelli. | - orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec |
modelRegistry |
createTransitionRequest |
Un utente crea una richiesta di transizione della fase della versione del modello. | - name - version - stage |
modelRegistry |
deleteComment |
Un utente elimina un commento su una versione del modello. | - id |
modelRegistry |
deleteModelVersion |
Un utente elimina una versione del modello. | - name - version |
modelRegistry |
deleteModelVersionTag |
Un utente elimina un tag di versione del modello. | - name - version - key |
modelRegistry |
deleteRegisteredModel |
Per eliminare un modello registrato, usare | - name |
modelRegistry |
deleteRegisteredModelTag |
Un utente elimina il tag per un modello registrato. | - name - key |
modelRegistry |
deleteRegistryWebhook |
L'utente elimina un webhook del Registro modelli. | - orgId - webhookId |
modelRegistry |
deleteTransitionRequest |
Un utente annulla una richiesta di transizione della fase della versione del modello. | - name - version - stage - creator |
modelRegistry |
finishCreateModelVersionAsync |
Completata la copia asincrona del modello. | - name - version |
modelRegistry |
generateBatchInferenceNotebook |
Il notebook di inferenza batch viene generato automaticamente. | - userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Il notebook di inferenza per una pipeline di tabelle Live Delta viene generato automaticamente. | - userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Un utente ottiene un URI per scaricare la versione del modello. | - name - version |
modelRegistry |
getModelVersionSignedDownloadUri |
Un utente ottiene un URI per scaricare una versione del modello firmata. | - name - version - path |
modelRegistry |
listModelArtifacts |
Un utente effettua una chiamata per elencare gli artefatti di un modello. | - name - version - path - page_token |
modelRegistry |
listRegistryWebhooks |
Un utente effettua una chiamata per elencare tutti i webhook del Registro di sistema nel modello. | - orgId - registeredModelId |
modelRegistry |
rejectTransitionRequest |
Un utente rifiuta una richiesta di transizione a una fase della versione del modello. | - name - version - stage |
modelRegistry |
renameRegisteredModel |
Un utente rinomina un modello registrato | - name - new_name |
modelRegistry |
setEmailSubscriptionStatus |
Un utente aggiorna lo stato della sottoscrizione di posta elettronica per un modello registrato | |
modelRegistry |
setModelVersionTag |
Un utente imposta un tag di versione del modello. | - name - version - key - value |
modelRegistry |
setRegisteredModelTag |
Un utente imposta un tag di versione del modello. | - name - key - value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Un utente aggiorna lo stato delle notifiche di posta elettronica per l'intero registro. | - orgId - userId - subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Un utente testa il webhook del Registro modelli. | - orgId - webhookId |
modelRegistry |
transitionModelVersionStage |
Un utente ottiene un elenco di tutte le richieste di transizione di fase aperta per la versione del modello. | - name - version - stage - archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Un webhook del Registro modelli viene attivato da un evento. | - orgId - registeredModelId - events - status |
modelRegistry |
updateComment |
Un utente pubblica una modifica in un commento su una versione del modello. | - id |
modelRegistry |
updateRegistryWebhook |
Un utente aggiorna un webhook del Registro modelli. | - orgId - webhookId |
Eventi di gestione dei modelli
Gli eventi seguenti serverlessRealTimeInference
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Gli utenti aggiornano le autorizzazioni per un endpoint di inferenza. | - shardName - targetUserId - resourceId - aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Creare quindi l'endpoint di servizio del modello. | - name - config |
serverlessRealTimeInference |
deleteServingEndpoint |
L'utente elimina un endpoint di gestione del modello. | - name |
serverlessRealTimeInference |
disable |
L'utente disabilita la gestione del modello per un modello registrato. | - registered_mode_name |
serverlessRealTimeInference |
enable |
L'utente abilita la gestione del modello per un modello registrato. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Gli utenti eseguono una chiamata per ottenere l'anteprima dello schema di query. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
L'utente aggiorna un endpoint di gestione del modello. | - name - served_models - traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
L'utente aggiorna i limiti di frequenza per un endpoint di inferenza. I limiti di frequenza si applicano solo alle API del modello foundation con pagamento in base al token e agli endpoint del modello esterno. | - name - rate_limits |
Eventi del notebook
Gli eventi seguenti notebook
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
notebook |
attachNotebook |
Collegare un notebook a un cluster. | - path - clusterId - notebookId |
notebook |
cloneNotebook |
Un utente clona un notebook. | - notebookId - path - clonedNotebookId - destinationPath |
notebook |
createNotebook |
Viene creato un notebook. | - notebookId - path |
notebook |
deleteFolder |
Viene eliminata una cartella del notebook. | - path |
notebook |
deleteNotebook |
Un notebook viene eliminato. | - notebookId - notebookName - path |
notebook |
detachNotebook |
Scollegare un notebook da un cluster. | - notebookId - clusterId - path |
notebook |
downloadLargeResults |
Un utente scarica i risultati della query troppo grandi da visualizzare nel notebook. | - notebookId - notebookFullPath |
notebook |
downloadPreviewResults |
Un utente scarica i risultati della query. | - notebookId - notebookFullPath |
notebook |
importNotebook |
Un utente importa un notebook. | - path |
notebook |
moveFolder |
Una cartella del notebook viene spostata da un percorso a un altro. | - oldPath - newPath - folderId |
notebook |
moveNotebook |
Un notebook viene spostato da una posizione a un'altra. | - newPath - oldPath - notebookId |
notebook |
renameNotebook |
Un notebook viene rinominato. | - newName - oldName - parentPath - notebookId |
notebook |
restoreFolder |
Viene ripristinata una cartella eliminata. | - path |
notebook |
restoreNotebook |
Viene ripristinato un notebook eliminato. | - path - notebookId - notebookName |
notebook |
runCommand |
Disponibile quando sono abilitati i log di controllo dettagliati. Generato dopo che Databricks esegue un comando in un notebook. Un comando corrisponde a una cella in un notebook.executionTime è espresso in secondi. |
- notebookId - executionTime - status - commandId - commandText - commandLanguage |
notebook |
takeNotebookSnapshot |
Gli snapshot del notebook vengono acquisiti quando viene eseguito il servizio di processo o mlflow. | - path |
Eventi di Partner Connect
Gli eventi seguenti partnerHub
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Un amministratore dell'area di lavoro configura una connessione a una soluzione partner. | - partner_name |
partnerHub |
deletePartnerConnection |
Un amministratore dell'area di lavoro elimina una connessione partner. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Un amministratore dell'area di lavoro scarica il file di connessione partner. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Un amministratore dell'area di lavoro configura le risorse per una connessione partner. | - partner_name |
Eventi di ottimizzazione predittiva
Gli eventi seguenti predictiveOptimization
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
predictiveOptimization |
PutMetrics |
Registrato quando l'ottimizzazione predittiva aggiorna le metriche della tabella e del carico di lavoro in modo che il servizio possa pianificare in modo più intelligente le operazioni di ottimizzazione. | - table_metrics_list - start_time - end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Un amministratore dell'account abilita o disabilita l'ottimizzazione predittiva per un metastore. | - metastore_id - enable |
Eventi del servizio cronologia remota
Gli eventi seguenti remoteHistoryService
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
L'utente aggiunge le credenziali GitHub | Nessuno |
remoteHistoryService |
deleteUserGitHubCredentials |
L'utente rimuove le credenziali GitHub | Nessuno |
remoteHistoryService |
updateUserGitHubCredentials |
L’utente aggiorna le credenziali di Github | Nessuno |
Eventi della cartella Git
Gli eventi seguenti repos
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
repos |
checkoutBranch |
Un utente estrae un ramo nel repository. | - id - branch |
repos |
commitAndPush |
Un utente esegue il commit e il push in un repository. | - id - message - files - checkSensitiveToken |
repos |
createRepo |
Un utente crea un repository nell'area di lavoro | - url - provider - path |
repos |
deleteRepo |
Un utente elimina un repository. | - id |
repos |
discard |
Un utente rimuove un commit in un repository. | - id - file_paths |
repos |
getRepo |
Un utente effettua una chiamata per ottenere informazioni su un singolo repository. | - id |
repos |
listRepos |
Un utente effettua una chiamata per ottenere tutti i repository su cui dispone delle autorizzazioni di gestione. | - path_prefix - next_page_token |
repos |
pull |
Un utente esegue il pull dei commit più recenti da un repository. | - id |
repos |
updateRepo |
Un utente aggiorna il repository a un ramo o a un tag diverso o al commit più recente nello stesso ramo. | - id - branch - tag - git_url - git_provider |
Eventi segreti
Gli eventi seguenti secrets
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
secrets |
createScope |
Creare un ambito dei segreti. | - scope - initial_manage_principal - scope_backend_type |
secrets |
deleteAcl |
L'utente elimina gli elenchi di controllo di accesso per un ambito segreto. | - scope - principal |
secrets |
deleteScope |
L'utente elimina un ambito segreto. | - scope |
secrets |
deleteSecret |
L'utente elimina un segreto da un ambito. | - key - scope |
secrets |
getAcl |
L'utente ottiene gli elenchi di controllo di accesso per un ambito segreto. | - scope - principal |
secrets |
getSecret |
L'utente ottiene un segreto da un ambito. | - key - scope |
secrets |
listAcls |
L'utente effettua una chiamata per elencare gli elenchi di controllo di accesso per un ambito segreto. | - scope |
secrets |
listScopes |
L'utente effettua una chiamata per elencare gli ambiti dei segreti | Nessuno |
secrets |
listSecrets |
L'utente effettua una chiamata per elencare i segreti all'interno di un ambito. | - scope |
secrets |
putAcl |
L'utente modifica gli elenchi di controllo di accesso per un ambito segreto. | - scope - principal - permission |
secrets |
putSecret |
L'utente aggiunge o modifica un segreto all'interno di un ambito. | - string_value - key - scope |
Eventi di accesso alle tabelle SQL
Nota
Il sqlPermissions
servizio include eventi correlati al controllo di accesso alla tabella del metastore Hive legacy. Databricks consiglia di eseguire la migrazione delle tabelle gestite dal metastore Hive al metastore di Unity Catalog.
Gli eventi seguenti sqlPermissions
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
sqlPermissions |
changeSecurableOwner |
L'amministratore dell'area di lavoro o il proprietario di un oggetto trasferisce la proprietà dell'oggetto. | - securable - principal |
sqlPermissions |
createSecurable |
L'utente crea un oggetto a protezione diretta. | - securable |
sqlPermissions |
denyPermission |
Il proprietario dell'oggetto nega i privilegi per un oggetto a protezione diretta. | - permission |
sqlPermissions |
grantPermission |
Il proprietario dell'oggetto concede l'autorizzazione per un oggetto a protezione diretta. | - permission |
sqlPermissions |
removeAllPermissions |
L'utente elimina un oggetto a protezione diretta. | - securable |
sqlPermissions |
renameSecurable |
L'utente rinomina un oggetto a protezione diretta. | - before - after |
sqlPermissions |
requestPermissions |
L'utente richiede le autorizzazioni per un oggetto a protezione diretta. | - requests |
sqlPermissions |
revokePermission |
Il proprietario dell'oggetto revoca le autorizzazioni per l'oggetto a protezione diretta. | - permission |
sqlPermissions |
showPermissions |
Autorizzazioni per oggetti a protezione diretta delle visualizzazioni utente. | - securable - principal |
Eventi SSH
Gli eventi seguenti ssh
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
ssh |
login |
Accesso dell'agente di SSH al driver Spark. | - containerId - userName - port - publicKey - instanceId |
ssh |
logout |
Disconnessione dell'agente da SSH dal driver Spark. | - userName - containerId - instanceId |
Eventi di ricerca vettoriale
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti vectorSearch
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
vectorSearch |
createEndpoint |
L'utente crea un endpoint di ricerca vettoriale. | - name - endpoint_type |
vectorSearch |
deleteEndpoint |
L'utente elimina un endpoint di ricerca vettoriale. | - name |
vectorSearch |
createVectorIndex |
L'utente crea un indice di ricerca vettoriale. | - name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
L'utente elimina un indice di ricerca vettoriale. | - name - endpoint_name - delete_embedding_writeback_table |
Eventi del terminale web
Gli eventi seguenti webTerminal
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
webTerminal |
startSession |
L'utente avvia sessioni del terminale web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
webTerminal |
closeSession |
L'utente chiude una sessione del terminale web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
Eventi area di lavoro
Gli eventi seguenti workspace
vengono registrati a livello di area di lavoro.
Service | Nome azione | Descrizione | Parametri della richiesta |
---|---|---|---|
workspace |
changeWorkspaceAcl |
Autorizzazioni per l'area di lavoro modificate. | - shardName - targetUserId - aclPermissionSet - resourceId |
workspace |
deleteSetting |
Un'impostazione viene eliminata dall'area di lavoro. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName |
workspace |
fileCreate |
L'utente crea un file nell'area di lavoro. | - path |
workspace |
fileDelete |
L'utente elimina un file nell'area di lavoro. | - path |
workspace |
fileEditorOpenEvent |
L'utente apre l'editor di file. | - notebookId - path |
workspace |
getRoleAssignment |
L'utente ottiene i ruoli utente di un'area di lavoro. | - account_id - workspace_id |
workspace |
mintOAuthAuthorizationCode |
Registrato quando il codice di autorizzazione OAuth interno viene coniato a livello di area di lavoro. | - client_id |
workspace |
mintOAuthToken |
Il token OAuth viene coniato per l'area di lavoro. | - grant_type - scope - expires_in - client_id |
workspace |
moveWorkspaceNode |
Un amministratore dell'area di lavoro sposta il nodo dell'area di lavoro. | - destinationPath - path |
workspace |
purgeWorkspaceNodes |
Un amministratore dell'area di lavoro elimina i nodi dell'area di lavoro. | - treestoreId |
workspace |
reattachHomeFolder |
Una home folder esistente viene ricollegata per un utente che viene nuovamente aggiunto all'area di lavoro. | - path |
workspace |
renameWorkspaceNode |
Un amministratore dell'area di lavoro rinomina i nodi dell'area di lavoro. | - path - destinationPath |
workspace |
unmarkHomeFolder |
Gli attributi speciali della cartella Home vengono rimossi quando un utente viene rimosso dall'area di lavoro. | - path |
workspace |
updateRoleAssignment |
Un amministratore dell'area di lavoro aggiorna il ruolo di un utente dell'area di lavoro. | - account_id - workspace_id - principal_id |
workspace |
updatePermissionAssignment |
Un amministratore dell'area di lavoro aggiunge un'entità all'area di lavoro. | - principal_id - permissions |
workspace |
setSetting |
Un amministratore dell'area di lavoro configura un'impostazione dell'area di lavoro. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
workspace |
workspaceConfEdit |
L'amministratore dell'area di lavoro apporta aggiornamenti a un'impostazione, ad esempio abilitando i log di controllo dettagliati. | - workspaceConfKeys - workspaceConfValues |
workspace |
workspaceExport |
L'utente esporta un notebook da un'area di lavoro. | - workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Il client OAuth viene autenticato nel servizio dell'area di lavoro. | - user |
Eventi di utilizzo fatturabili
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti accountBillableUsage
vengono registrati a livello di account.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
L'utente ha eseguito l'accesso all'utilizzo fatturabile aggregato (utilizzo al giorno) per l'account tramite la funzionalità Grafico utilizzo. | - account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
L'utente ha eseguito l'accesso a un utilizzo dettagliato fatturabile (utilizzo per ogni cluster) per l'account tramite la funzionalità Download utilizzo. | - account_id - start_month - end_month - with_pii |
Eventi dell'account a livello di account
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti accounts
vengono registrati a livello di account.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Un client OAuth viene autenticato. | - endpoint |
accounts |
accountIpAclsValidationFailed |
La convalida delle autorizzazioni IP non riesce. Restituisce statusCode 403. | - sourceIpAddress - user : registrato come indirizzo di posta elettronica |
accounts |
activateUser |
Un utente viene riattivato dopo essere stato disattivato. Vedere Disattivare gli utenti nell'account. | - targetUserName - endpoint - targetUserId |
accounts |
add |
Un utente viene aggiunto all'account Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Un utente viene aggiunto a un gruppo a livello di account. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
addPrincipalsToGroup |
Gli utenti vengono aggiunti a un gruppo a livello di account usando il provisioning SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
createGroup |
Viene creato un gruppo a livello di account. | - endpoint - targetGroupId - targetGroupName |
accounts |
deactivateUser |
Quando un utente viene disattivato. Vedere Disattivare gli utenti nell'account. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Un utente viene eliminato dall'account Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteSetting |
Gli amministratori dell'account possono rimuovere i gruppi da un account Azure Databricks. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
garbageCollectDbToken |
Un utente esegue un comando di garbage collect sui token scaduti. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
L'utente genera un token da Impostazioni utente o quando il servizio genera il token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
login |
Un utente accede alla console dell'account. | - user |
accounts |
logout |
Un utente si disconnette dalla console dell'account. | - user |
accounts |
oidcBrowserLogin |
Un utente accede al proprio account con il flusso di lavoro del browser OpenID Connect. | - user |
accounts |
oidcTokenAuthorization |
Un token OIDC viene autenticato per un account di accesso amministratore. | - user |
accounts |
removeAccountAdmin |
Un amministratore account rimuove le autorizzazioni di amministratore dell'account da un altro utente. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Un gruppo viene rimosso dall'account. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
Un utente viene rimosso da un gruppo a livello di account. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
removePrincipalsFromGroup |
Gli utenti vengono rimossi da un gruppo a livello di account usando il provisioning SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
setAccountAdmin |
Gli amministratori dell'account possono aggiungere utenti all'account e assegnare loro ruoli di amministratore. | - targetUserName - endpoint - targetUserId |
accounts |
setSetting |
Un amministratore account aggiorna un'impostazione a livello di account. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
tokenLogin |
Un utente accede a Databricks usando un token. | - tokenId - user |
accounts |
updateUser |
Un amministratore dell'account aggiorna un account utente. | - targetUserName - endpoint - targetUserId |
accounts |
updateGroup |
Un amministratore account aggiorna un gruppo a livello di account. | - endpoint - targetGroupId - targetGroupName |
accounts |
validateEmail |
Quando un utente convalida la posta elettronica dopo la creazione dell'account. | - endpoint - targetUserName - targetUserId |
Eventi di controllo di accesso a livello di account
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
L'evento seguente accountsAccessControl
viene registrato a livello di account.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
accountsAccessControl |
updateRuleSet |
Quando viene modificato un set di regole. | - account_id - name - rule_set |
Altri eventi di gestione account
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi seguenti accountsManager
vengono registrati a livello di account. Questi eventi devono avere a che fare con le configurazioni effettuate dagli amministratori dell'account nella console dell'account.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
L'amministratore dell'account ha creato una configurazione di connettività di rete. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
L'amministratore dell'account richiede informazioni dettagliate sulla configurazione della connettività di rete. | - account_id - network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
L'amministratore dell'account elenca tutte le configurazioni di connettività di rete nell'account. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
L'amministratore dell'account ha eliminato una configurazione di connettività di rete. | - account_id - network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
L'amministratore dell'account ha creato una regola di endpoint privato. | - account_id - network_connectivity_config_id - azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
L'amministratore dell'account richiede informazioni dettagliate su una regola di endpoint privato. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
L'amministratore dell'account elenca tutte le regole dell'endpoint privato in una configurazione di connettività di rete. | - account_id - network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
L'amministratore dell'account ha eliminato una regola di endpoint privato. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
L'amministratore dell'account ha aggiornato una regola dell'endpoint privato. | - account_id - network_connectivity_config_id - rule_id - azure_private_endpoint_rule |
Eventi dei criteri di budget
Gli eventi seguenti budgetPolicyCentral
vengono registrati a livello di account e sono correlati ai criteri di budget. Vedere Utilizzo serverless degli attributi con criteri di budget.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
L'amministratore dell'area di lavoro o l'amministratore della fatturazione crea un criterio di budget. Il nuovo policy_id viene registrato nella response colonna . |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
L'amministratore dell'area di lavoro, l'amministratore della fatturazione o il responsabile dei criteri aggiorna i criteri di budget. | - policy.policy_id - policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
L'amministratore dell'area di lavoro, l'amministratore della fatturazione o il responsabile dei criteri elimina un criterio di budget. | - policy_id |
Eventi di Unity Catalog
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi di diagnostica seguenti sono correlati al catalogo Unity. Anche gli eventi di condivisione differenziale vengono registrati nel unityCatalog
servizio. Per gli eventi di condivisione differenziale, vedere Eventi di Delta Sharing. Gli eventi di controllo del catalogo Unity possono essere registrati a livello di area di lavoro o di account a seconda dell'evento.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
unityCatalog |
createMetastore |
L'amministratore account crea un metastore. | - name - storage_root - workspace_id - metastore_id |
unityCatalog |
getMetastore |
L'amministratore dell'account richiede l'ID metastore. | - id - workspace_id - metastore_id |
unityCatalog |
getMetastoreSummary |
L'amministratore dell'account richiede informazioni dettagliate su un metastore. | - workspace_id - metastore_id |
unityCatalog |
listMetastores |
L'amministratore account richiede un elenco di tutti i metastore in un account. | - workspace_id |
unityCatalog |
updateMetastore |
L'amministratore dell'account esegue un aggiornamento a un metastore. | - id - owner - workspace_id - metastore_id |
unityCatalog |
deleteMetastore |
L'amministratore account elimina un metastore. | - id - force - workspace_id - metastore_id |
unityCatalog |
updateMetastoreAssignment |
L'amministratore dell'account esegue un aggiornamento dell'assegnazione dell'area di lavoro di un metastore. | - workspace_id - metastore_id - default_catalog_name |
unityCatalog |
createExternalLocation |
L'amministratore account crea una posizione esterna. | - name - skip_validation - url - credential_name - workspace_id - metastore_id |
unityCatalog |
getExternalLocation |
L'amministratore dell'account richiede informazioni dettagliate su una posizione esterna. | - name_arg - include_browse - workspace_id - metastore_id |
unityCatalog |
listExternalLocations |
Elenco di richieste di amministratore account di tutte le posizioni esterne in un account. | - url - max_results - workspace_id - metastore_id |
unityCatalog |
updateExternalLocation |
L'amministratore dell'account esegue un aggiornamento a una posizione esterna. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteExternalLocation |
L'amministratore account elimina una posizione esterna. | - name_arg - force - workspace_id - metastore_id |
unityCatalog |
createCatalog |
L'utente crea un catalogo. | - name - comment - workspace_id - metastore_id |
unityCatalog |
deleteCatalog |
L'utente elimina un catalogo. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getCatalog |
L'utente richiede informazioni dettagliate su un catalogo. | - name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
updateCatalog |
L'utente aggiorna un catalogo. | - name_arg - isolation_mode - comment - workspace_id - metastore_id |
unityCatalog |
listCatalog |
L'utente effettua una chiamata per elencare tutti i cataloghi nel metastore. | - name_arg - workspace_id - metastore_id |
unityCatalog |
createSchema |
L'utente crea uno schema. | - name - catalog_name - comment - workspace_id - metastore_id |
unityCatalog |
deleteSchema |
L'utente elimina uno schema. | - full_name_arg - force - workspace_id - metastore_id |
unityCatalog |
getSchema |
L'utente richiede dettagli su uno schema. | - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
listSchema |
L'utente richiede un elenco di tutti gli schemi in un catalogo. | - catalog_name |
unityCatalog |
updateSchema |
L'utente aggiorna uno schema. | - full_name_arg - name - workspace_id - metastore_id - comment |
unityCatalog |
createStagingTable |
- name - catalog_name - schema_name - workspace_id - metastore_id |
|
unityCatalog |
createTable |
L'utente crea una tabella. I parametri della richiesta variano a seconda del tipo di tabella creato. | - name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment |
unityCatalog |
deleteTable |
Consultare la sezione Eliminare una tabella. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
getTable |
L'utente richiede informazioni dettagliate su una tabella. | - include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
L'utente effettua una chiamata per elencare tutte le tabelle in uno schema. | - catalog_name - schema_name - workspace_id - metastore_id - include_browse |
unityCatalog |
listTableSummaries |
L'utente ottiene una matrice di riepiloghi per le tabelle per uno schema e un catalogo all'interno del metastore. | - catalog_name - schema_name_pattern - workspace_id - metastore_id |
unityCatalog |
updateTables |
L'utente esegue un aggiornamento a una tabella. I parametri di richiesta visualizzati variano a seconda del tipo di aggiornamenti della tabella eseguiti. | - full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id |
unityCatalog |
createStorageCredential |
L'amministratore dell'account crea una credenziale di archiviazione. Potrebbe essere visualizzato un parametro di richiesta aggiuntivo basato sulle credenziali del provider di servizi cloud. | - name - comment - workspace_id - metastore_id |
unityCatalog |
listStorageCredentials |
L'amministratore dell'account effettua una chiamata per elencare tutte le credenziali di archiviazione nell'account. | - workspace_id - metastore_id |
unityCatalog |
getStorageCredential |
L'amministratore dell'account richiede informazioni dettagliate su una credenziale di archiviazione. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateStorageCredential |
L'amministratore dell'account esegue un aggiornamento a una credenziale di archiviazione. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteStorageCredential |
L'amministratore dell'account elimina una credenziale di archiviazione. | - name_arg - workspace_id - metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Registrato ogni volta che viene concessa una credenziale temporanea per una tabella. È possibile usare questo evento per determinare chi ha eseguito una query su cosa e quando. | - credential_id - credential_type - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Registrato ogni volta che viene concessa una credenziale temporanea per un percorso. | - url - operation - make_path_only_parent - workspace_id - metastore_id |
unityCatalog |
getPermissions |
L'utente effettua una chiamata per ottenere i dettagli delle autorizzazioni per un oggetto a protezione diretta. Questa chiamata non restituisce autorizzazioni ereditate, ma solo autorizzazioni assegnate in modo esplicito. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getEffectivePermissions |
L'utente effettua una chiamata per ottenere tutti i dettagli delle autorizzazioni per un oggetto a protezione diretta. Una chiamata alle autorizzazioni valide restituisce autorizzazioni assegnate in modo esplicito e ereditate. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
updatePermissions |
Gli utenti aggiornano le autorizzazioni per un oggetto a protezione diretta. | - securable_type - changes - securable_full_name - workspace_id - metastore_id |
unityCatalog |
metadataSnapshot |
L'utente esegue una query sui metadati da una versione precedente della tabella. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
L'utente esegue una query sui metadati e le autorizzazioni di una versione precedente della tabella. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
updateMetadataSnapshot |
L'utente aggiorna i metadati da una versione precedente della tabella. | - table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id |
unityCatalog |
getForeignCredentials |
L'utente effettua una chiamata per ottenere informazioni dettagliate su una chiave esterna. | - securables - workspace_id - metastore_id |
unityCatalog |
getInformationSchema |
L'utente effettua una chiamata per ottenere dettagli su uno schema. | - table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id |
unityCatalog |
createConstraint |
L'utente crea un vincolo per una tabella. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
deleteConstraint |
L'utente elimina un vincolo per una tabella. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
createPipeline |
L'utente crea una pipeline del catalogo Unity. | - target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id |
unityCatalog |
updatePipeline |
L'utente aggiorna una pipeline del catalogo Unity. | - id_arg - definition_json - id - workspace_id - metastore_id |
unityCatalog |
getPipeline |
L'utente richiede informazioni dettagliate su una pipeline del catalogo Unity. | - id - workspace_id - metastore_id |
unityCatalog |
deletePipeline |
L'utente elimina una pipeline del catalogo Unity. | - id - workspace_id - metastore_id |
unityCatalog |
deleteResourceFailure |
La risorsa non riesce a eliminare | Nessuno |
unityCatalog |
createVolume |
L'utente crea un volume del catalogo Unity. | - name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id |
unityCatalog |
getVolume |
L'utente effettua una chiamata per ottenere informazioni su un volume del catalogo Unity. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
updateVolume |
L'utente aggiorna i metadati di un volume di Unity Catalog con le chiamate ALTER VOLUME o COMMENT ON . |
- volume_full_name - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteVolume |
L'utente elimina un volume del catalogo Unity. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
listVolumes |
L'utente effettua una chiamata per ottenere un elenco di tutti i volumi del catalogo Unity in uno schema. | - catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Una credenziale temporanea viene generata quando un utente esegue una lettura o una scrittura in un volume. È possibile usare questo evento per determinare chi ha eseguito l'accesso a un volume e quando. | - volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
getTagSecurableAssignments |
Le assegnazioni di tag per un'entità a protezione diretta vengono recuperate | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getTagSubentityAssignments |
Le assegnazioni di tag per una sottoentità vengono recuperate | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Le assegnazioni di tag per un'entità a protezione diretta vengono aggiornate | - securable_type - securable_full_name - workspace_id - metastore_id - changes |
unityCatalog |
UpdateTagSubentityAssignments |
Le assegnazioni di tag per una sottoentità vengono aggiornate | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes |
unityCatalog |
createRegisteredModel |
L'utente crea un modello registrato del catalogo Unity. | - name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id |
unityCatalog |
getRegisteredModel |
L'utente effettua una chiamata per ottenere informazioni su un modello registrato del catalogo Unity. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
updateRegisteredModel |
L'utente aggiorna i metadati di un modello registrato in Unity Catalog. | - full_name_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteRegisteredModel |
L'utente elimina un modello registrato del catalogo Unity. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
listRegisteredModels |
L'utente effettua una chiamata per ottenere un elenco di modelli registrati del catalogo Unity in uno schema o elencare modelli tra cataloghi e schemi. | - catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
createModelVersion |
L'utente crea una versione del modello in Unity Catalog. | - catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id |
unityCatalog |
finalizeModelVersion |
L'utente effettua una chiamata a “finalizzare” una versione del modello di Catalogo Unity dopo il caricamento dei file di versione del modello nel percorso di archiviazione, rendendolo di sola lettura e utilizzabile nei flussi di lavoro di inferenza. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersion |
L'utente effettua una chiamata per ottenere dettagli su una versione del modello. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersionByAlias |
L'utente effettua una chiamata per ottenere dettagli su una versione del modello usando l'alias. | - full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id |
unityCatalog |
updateModelVersion |
L'utente aggiorna i metadati di una versione del modello. | - full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteModelVersion |
L’utente elimina una versione del modello. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
listModelVersions |
L'utente effettua una chiamata per ottenere un elenco di versioni del modello di Catalogo Unity in un modello registrato. | - catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Una credenziale temporanea viene generata quando un utente esegue una scrittura (durante la creazione della versione iniziale del modello) o la lettura (dopo la finalizzazione della versione del modello) in una versione del modello. È possibile usare questo evento per determinare chi ha eseguito l'accesso a una versione del modello e quando. | - full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
setRegisteredModelAlias |
L'utente imposta un alias in un modello registrato del catalogo Unity. | - full_name_arg - alias_arg - version |
unityCatalog |
deleteRegisteredModelAlias |
L'utente elimina un alias in un modello registrato del catalogo Unity. | - full_name_arg - alias_arg |
unityCatalog |
getModelVersionByAlias |
L'utente ottiene una versione del modello di Catalogo Unity in base all'alias. | - full_name_arg - alias_arg |
unityCatalog |
createConnection |
Viene creata una nuova connessione esterna. | - name - connection_type - workspace_id - metastore_id |
unityCatalog |
deleteConnection |
Viene eliminata una connessione esterna. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getConnection |
Viene recuperata una connessione esterna. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateConnection |
Viene aggiornata una connessione esterna. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listConnections |
Vengono elencate le connessioni esterne in un metastore. | - workspace_id - metastore_id |
unityCatalog |
createFunction |
Creare una nuova funzione. | - function_info - workspace_id - metastore_id |
unityCatalog |
updateFunction |
L'utente aggiorna una funzione. | - full_name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listFunctions |
L'utente richiede un elenco di tutte le funzioni all'interno di un catalogo o uno schema padre specifico. | - catalog_name - schema_name - include_browse - workspace_id - metastore_id |
unityCatalog |
getFunction |
L'utente richiede una funzione da un catalogo o uno schema padre. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
deleteFunction |
L'utente richiede una funzione da un catalogo o uno schema padre. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos - metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos - metastore_id |
Eventi di Delta Sharing
Nota
Questo servizio non è disponibile tramite le impostazioni di diagnostica di Azure. Abilitare la tabella di sistema del log di controllo per accedere a questi eventi.
Gli eventi di condivisione differenziale vengono suddivisi in due sezioni: gli eventi registrati nell'account del provider di dati e gli eventi registrati nell'account del destinatario dati.
Eventi del provider di Delta Sharing
Gli eventi del log di controllo seguenti vengono registrati nell'account del provider. Le azioni eseguite dai destinatari iniziano con il prefisso deltaSharing
. Ognuno di questi log include anche request_params.metastore_id
, ovvero il metastore che gestisce i dati condivisi e userIdentity.email
, ovvero l'ID dell'utente che ha avviato l'attività.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
unityCatalog |
deltaSharingListShares |
Un destinatario di dati richiede un elenco di condivisioni. | - options : opzioni di paginazione fornite con questa richiesta.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingGetShare |
Un destinatario di dati richiede informazioni dettagliate su una condivisione. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListSchemas |
Un destinatario di dati richiede un elenco di schemi condivisi. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- options : opzioni di paginazione fornite con questa richiesta.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListAllTables |
Un destinatario di dati richiede un elenco di tutte le tabelle condivise. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListTables |
Un destinatario di dati richiede un elenco di tabelle condivise. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- options : opzioni di paginazione fornite con questa richiesta.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingGetTableMetadata |
Un destinatario di dati richiede informazioni dettagliate sui metadati di una tabella. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- schema : nome dello schema.- name : nome della tabella.- predicateHints : predicati inclusi nella query.- limitHints : numero massimo di righe da restituire.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingGetTableVersion |
Un destinatario di dati richiede informazioni dettagliate su una versione della tabella. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- schema : nome dello schema.- name : nome della tabella.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingQueryTable |
Registrato quando un destinatario di dati esegue una query su una tabella condivisa. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- schema : nome dello schema.- name : nome della tabella.- predicateHints : predicati inclusi nella query.- limitHints : numero massimo di righe da restituire.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingQueryTableChanges |
Registrato quando un destinatario di dati esegue query su dati di modifica per una tabella. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- schema : nome dello schema.- name : nome della tabella.- cdf_options : opzioni del feed di modifiche.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingQueriedTable |
Registrato dopo che un destinatario di dati riceve una risposta alla query. Il response.result campo include altre informazioni sulla query del destinatario (vedere Controllare e monitorare la condivisione dei dati) |
- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingQueriedTableChanges |
Registrato dopo che un destinatario di dati riceve una risposta alla query. Il response.result campo include altre informazioni sulla query del destinatario (vedere Controllare e monitorare la condivisione dei dati). |
- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListNotebookFiles |
Un destinatario di dati richiede un elenco di file di notebook condivisi. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingQueryNotebookFile |
Un destinatario di dati esegue una query su un file di notebook condiviso. | - file_name : nome del file del notebook.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListFunctions |
Un destinatario di dati richiede un elenco di funzioni in uno schema padre. | - share : è il nome della condivisione.- schema : nome dello schema padre della funzione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListAllFunctions |
Un destinatario di dati richiede un elenco di tutte le funzioni condivise. | - share : è il nome della condivisione.- schema : nome dello schema padre della funzione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListFunctionVersions |
Un destinatario di dati richiede un elenco di versioni delle funzioni. | - share : è il nome della condivisione.- schema : nome dello schema padre della funzione.- function : nome della funzione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListVolumes |
Un destinatario di dati richiede un elenco di volumi condivisi in uno schema. | - share : è il nome della condivisione.- schema : schema padre dei volumi.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
deltaSharingListAllVolumes |
Un destinatario di dati richiede tutti i volumi condivisi. | - share : è il nome della condivisione.- recipient_name : indica il destinatario che esegue l'azione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
updateMetastore |
Il provider aggiorna il metastore. | - delta_sharing_scope : i valori possono essere INTERNAL o INTERNAL_AND_EXTERNAL .- delta_sharing_recipient_token_lifetime_in_seconds : se presente, indica che la durata del token del destinatario è stata aggiornata. |
unityCatalog |
createRecipient |
Il provider crea un destinatario dati. | - name : nome del destinatario.- comment : commento per il destinatario.- ip_access_list.allowed_ip_addresses: aggiungere all'elenco elementi consentiti di indirizzi IP destinatario. |
unityCatalog |
deleteRecipient |
Il provider elimina un destinatario dati. | - name : nome del destinatario. |
unityCatalog |
getRecipient |
Il provider richiede informazioni dettagliate su un destinatario dati. | - name : nome del destinatario. |
unityCatalog |
listRecipients |
Il provider richiede un elenco di tutti i destinatari dei dati. | Nessuno |
unityCatalog |
rotateRecipientToken |
Il provider ruota il token di un destinatario. | - name : nome del destinatario.- comment : commento specificato nel comando di rotazione. |
unityCatalog |
updateRecipient |
Il provider aggiorna gli attributi di un destinatario dati. | - name : nome del destinatario.- updates : rappresentazione JSON degli attributi del destinatario aggiunti o rimossi dalla condivisione. |
unityCatalog |
createShare |
Il provider aggiorna gli attributi di un destinatario dati. | - name : è il nome della condivisione.- comment : commento per la condivisione. |
unityCatalog |
deleteShare |
Il provider aggiorna gli attributi di un destinatario dati. | - name : è il nome della condivisione. |
unityCatalog |
getShare |
Il provider richiede informazioni dettagliate su una condivisione. | - name : è il nome della condivisione.- include_shared_objects : indica se i nomi delle tabelle della condivisione sono stati inclusi nella richiesta. |
unityCatalog |
updateShare |
Il provider aggiunge o rimuove gli asset di dati da una condivisione. | - name : è il nome della condivisione.- updates : rappresentazione JSON degli asset di dati aggiunti o rimossi dalla condivisione. Ogni elemento include action (aggiunta o rimozione), name (il nome effettivo della tabella), shared_as (il nome dell'asset è stato condiviso come, se diverso dal nome effettivo) e partition_specification (se è stata specificata una specifica di partizione). |
unityCatalog |
listShares |
Il provider richiede un elenco delle condivisioni. | Nessuno |
unityCatalog |
getSharePermissions |
Il provider richiede informazioni dettagliate sulle autorizzazioni di una condivisione. | - name : è il nome della condivisione. |
unityCatalog |
updateSharePermissions |
Il provider aggiorna le autorizzazioni di una condivisione. | - name : è il nome della condivisione.- changes : rappresentazione JSON delle autorizzazioni aggiornate. Ogni modifica include principal (l'utente o il gruppo a cui viene concessa o revocata l'autorizzazione), add (elenco di autorizzazioni concesse) e remove (elenco di autorizzazioni revocate). |
unityCatalog |
getRecipientSharePermissions |
Il provider richiede informazioni dettagliate sulle autorizzazioni di condivisione di un destinatario. | - name : è il nome della condivisione. |
unityCatalog |
getActivationUrlInfo |
Il provider richiede informazioni dettagliate sull'attività sul collegamento di attivazione. | - recipient_name : nome del destinatario che ha aperto l'URL di attivazione.- is_ip_access_denied : nessuno se non è configurato alcun elenco di accesso IP. In caso contrario, true se la richiesta è stata negata e false se la richiesta non è stata negata. sourceIPaddress è l'indirizzo IP del destinatario. |
unityCatalog |
generateTemporaryVolumeCredential |
Le credenziali temporanee vengono generate per consentire al destinatario di accedere a un volume condiviso. | - share_name : nome della condivisione tramite cui il destinatario richiede.- share_id : ID della condivisione.- share_owner : proprietario della condivisione.- recipient_name : nome del destinatario che richiede le credenziali.- recipient_id : ID del destinatario.- volume_full_name : nome completo a 3 livelli del volume.- volume_id : ID del volume.- volume_storage_location : percorso cloud della radice del volume.- operation : READ_VOLUME o WRITE_VOLUME . Per la condivisione del volume, è supportato solo READ_VOLUME .- credential_id : ID della credenziale.- credential_type : tipo di credenziale. Il valore è sempre StorageCredential .- workspace_id : il valore è sempre 0 quando la richiesta è per i volumi condivisi. |
unityCatalog |
generateTemporaryTableCredential |
Le credenziali temporanee vengono generate per consentire al destinatario di accedere a una tabella condivisa. | - share_name : nome della condivisione tramite cui il destinatario richiede.- share_id : ID della condivisione.- share_owner : proprietario della condivisione.- recipient_name : nome del destinatario che richiede le credenziali.- recipient_id : ID del destinatario.- table_full_name : nome completo a 3 livelli della tabella.- table_id : ID della tabella.- table_url : percorso cloud della radice della tabella.- operation : READ o READ_WRITE .- credential_id : ID della credenziale.- credential_type : tipo di credenziale. Il valore è sempre StorageCredential .- workspace_id : il valore è sempre 0 quando la richiesta è per le tabelle condivise. |
Eventi del destinatario Delta Sharing
Gli eventi seguenti vengono registrati nell'account del destinatario dati. Questi eventi registrano l'accesso dei destinatari degli asset di dati condivisi e di intelligenza artificiale, insieme agli eventi associati alla gestione dei provider. Ognuno di questi eventi include anche i parametri di richiesta seguenti:
recipient_name
: nome del destinatario nel sistema del provider di dati.metastore_id
: nome del metastore nel sistema del provider di dati.sourceIPAddress
: indirizzo IP di origine della richiesta.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Un destinatario di dati richiede dettagli su una versione di tabella condivisa. | - share : è il nome della condivisione.- schema : nome dello schema padre della tabella.- name : nome della tabella. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Un destinatario di dati richiede dettagli sui metadati di una tabella condivisa. | - share : è il nome della condivisione.- schema : nome dello schema padre della tabella.- name : nome della tabella. |
unityCatalog |
deltaSharingProxyQueryTable |
Un destinatario di dati esegue una query su una tabella condivisa. | - share : è il nome della condivisione.- schema : nome dello schema padre della tabella.- name : nome della tabella.- limitHints : numero massimo di righe da restituire.- predicateHints : predicati inclusi nella query.- version : versione della tabella, se il feed di dati delle modifiche è abilitato. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Un destinatario di dati esegue query sulle modifiche dei dati per una tabella. | - share : è il nome della condivisione.- schema : nome dello schema padre della tabella.- name : nome della tabella.- cdf_options : opzioni del feed di modifiche. |
unityCatalog |
createProvider |
Un destinatario di dati crea un oggetto provider. | - name : nome del provider.- comment : commento per il provider. |
unityCatalog |
updateProvider |
Un destinatario dati aggiorna un oggetto provider. | - name : nome del provider.- updates : rappresentazione JSON degli attributi del provider aggiunti o rimossi dalla condivisione. Ogni elemento include action (aggiungere o rimuovere) e può includere name (il nuovo nome del provider), owner (nuovo proprietario) e comment . |
unityCatalog |
deleteProvider |
Un destinatario dati elimina un oggetto provider. | - name : nome del provider. |
unityCatalog |
getProvider |
Un destinatario di dati richiede informazioni dettagliate su un oggetto provider. | - name : nome del provider. |
unityCatalog |
listProviders |
Un destinatario di dati richiede un elenco di provider. | Nessuno |
unityCatalog |
activateProvider |
Un destinatario dati attiva un oggetto provider. | - name : nome del provider. |
unityCatalog |
listProviderShares |
Un destinatario di dati richiede un elenco di condivisioni di un provider. | - name : nome del provider. |
unityCatalog |
generateTemporaryVolumeCredential |
Le credenziali temporanee vengono generate per consentire al destinatario di accedere a un volume condiviso. | - share_name : nome della condivisione tramite cui il destinatario richiede.- volume_full_name : nome completo a 3 livelli del volume.- volume_id : ID del volume.- operation : READ_VOLUME o WRITE_VOLUME . Per la condivisione del volume, è supportato solo READ_VOLUME .- workspace_id : ID dell'area di lavoro che riceve la richiesta dell'utente. |
unityCatalog |
generateTemporaryTableCredential |
Le credenziali temporanee vengono generate per consentire al destinatario di accedere a una tabella condivisa. | - share_name : nome della condivisione tramite cui il destinatario richiede.- table_full_name : nome completo a 3 livelli della tabella.- table_id : ID della tabella.- operation : READ o READ_WRITE .- workspace_id : ID dell'area di lavoro che riceve la richiesta dell'utente. |
Altri eventi di monitoraggio della sicurezza
Per le risorse di calcolo di Azure Databricks nel piano di calcolo classico, ad esempio le macchine virtuali per cluster e pro o sql warehouse classici, le funzionalità seguenti consentono agenti di monitoraggio aggiuntivi:
- Monitoraggio della sicurezza avanzato
- Profilo di sicurezza della conformità. Il profilo di sicurezza della conformità è necessario per i controlli di conformità per PCI-DSS.
Eventi di monitoraggio dell'integrità
Gli eventi seguenti capsule8-alerts-dataplane
vengono registrati a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Evento regolare per verificare che il monitoraggio sia attivo. Attualmente viene eseguito ogni 10 minuti. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
La memoria è spesso contrassegnata come eseguibile per consentire l'esecuzione di codice dannoso quando un'applicazione viene sfruttata. Avvisa quando un programma imposta le autorizzazioni di memoria dell'heap o dello stack su eseguibile. Ciò può causare falsi positivi per determinati server applicazioni. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Monitora l'integrità dei file di sistema importanti. Genera avvisi su eventuali modifiche non autorizzate a tali file. Databricks definisce set specifici di percorsi di sistema nell'immagine e questo set di percorsi può cambiare nel tempo. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Le modifiche apportate alle unità di sistema potrebbero comportare la disattivazione o la disabilitazione dei controlli di sicurezza o l'installazione di un servizio dannoso. Avvisa ogni volta che un systemd file di unità viene modificato da un programma diverso da systemctl . |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Gli arresti anomali ripetuti del programma potrebbero indicare che un utente malintenzionato sta tentando di sfruttare una vulnerabilità di danneggiamento della memoria o che si verifica un problema di stabilità nell'applicazione interessata. Avvisa quando più di 5 istanze di un singolo programma si arrestano in modo anomalo tramite errore di segmentazione. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Poiché i contenitori sono in genere carichi di lavoro statici, questo avviso potrebbe indicare che un utente malintenzionato ha compromesso il contenitore e sta tentando di installare ed eseguire una backdoor. Avvisa quando un file creato o modificato entro 30 minuti viene quindi eseguito all'interno di un contenitore. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
La memoria è spesso contrassegnata come eseguibile per consentire l'esecuzione di codice dannoso quando un'applicazione viene sfruttata. Avvisa quando un programma imposta le autorizzazioni di memoria dell'heap o dello stack su eseguibile. Ciò può causare falsi positivi per determinati server applicazioni. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Le shell interattive sono rare occorrenze nell'infrastruttura di produzione moderna. Avvisa quando viene avviata una shell interattiva con argomenti comunemente usati per le shell inverse. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
L'evasione della registrazione dei comandi è pratica comune per gli utenti malintenzionati, ma può anche indicare che un utente legittimo sta eseguendo azioni non autorizzate o tentando di eludere i criteri. Avvisa quando viene rilevata una modifica alla registrazione della cronologia dei comandi utente, a indicare che un utente sta tentando di evitare la registrazione dei comandi. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Rileva alcuni tipi di backdoor del kernel. Il caricamento di un nuovo programma BPF (Berkeley Packet Filter) potrebbe indicare che un utente malintenzionato sta caricando un rootkit basato su BPF per ottenere la persistenza ed evitare il rilevamento. Avvisa quando un processo carica un nuovo programma BPF con privilegi, se il processo che fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Gli utenti malintenzionati in genere caricano moduli kernel dannosi (rootkit) per evitare il rilevamento e mantenere la persistenza in un nodo compromesso. Avvisa quando viene caricato un modulo kernel, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Gli utenti malintenzionati possono creare o rinominare file binari dannosi per includere uno spazio alla fine del nome nel tentativo di rappresentare un programma o un servizio di sistema legittimo. Avvisa quando un programma viene eseguito con uno spazio dopo il nome del programma. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Gli exploit di escalation dei privilegi del kernel consentono in genere a un utente senza privilegi privilegiati di ottenere privilegi radice senza passare controlli standard per le modifiche ai privilegi. Avvisa quando un programma tenta di elevare privilegi tramite mezzi insoliti. Ciò può generare avvisi falsi positivi nei nodi con carichi di lavoro significativi. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Le funzioni del kernel interne non sono accessibili ai normali programmi e, se chiamati, sono un indicatore sicuro che un exploit del kernel è stato eseguito e che l'utente malintenzionato ha il controllo completo del nodo. Avvisa quando una funzione kernel torna in modo imprevisto allo spazio utente. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP e SMAP sono protezioni a livello di processore che aumentano la difficoltà di successo degli exploit del kernel e la disabilitazione di queste restrizioni è un passaggio anticipato comune negli exploit del kernel. Avvisa quando un programma manomette la configurazione SMEP/SMAP del kernel. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Avvisa quando un programma usa funzioni kernel comunemente usate negli exploit di escape dei contenitori, a indicare che un utente malintenzionato sta inoltrando i privilegi dall'accesso al contenitore all'accesso al nodo. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
I contenitori con privilegi hanno accesso diretto alle risorse host, causando un maggiore impatto in caso di compromissione. Avvisa quando viene avviato un contenitore con privilegi, se il contenitore non è un'immagine con privilegi nota, ad esempio kube-proxy. Ciò può generare avvisi indesiderati per i contenitori con privilegi legittimi. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Molti contenitori eseguono l'escape dell'host per eseguire un file binario in-contenitore, ottenendo così il controllo completo del nodo interessato da parte dell'utente malintenzionato. Avvisa quando un file creato dal contenitore viene eseguito dall'esterno di un contenitore. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
La modifica di determinati attributi AppArmor può verificarsi solo nel kernel, a indicare che AppArmor è stato disabilitato da un exploit del kernel o da un rootkit. Avvisa quando lo stato AppArmor viene modificato rispetto alla configurazione AppArmor rilevata all'avvio del sensore. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Gli utenti malintenzionati potrebbero tentare di disabilitare l'imposizione dei profili AppArmor come parte del rilevamento dell'evaso. Avvisa quando viene eseguito un comando per la modifica di un profilo AppArmor, se non è stato eseguito da un utente in una sessione SSH. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Se non viene eseguita da un'origine attendibile (ad esempio uno strumento di gestione pacchetti o gestione della configurazione), la modifica dei file di avvio potrebbe indicare un utente malintenzionato che modifica il kernel o le relative opzioni per ottenere l'accesso permanente a un host. Avvisa quando vengono apportate modifiche ai file in /boot , che indicano l'installazione di un nuovo kernel o configurazione di avvio. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
L'eliminazione dei log non eseguita da uno strumento di gestione dei log potrebbe indicare che un utente malintenzionato sta tentando di rimuovere gli indicatori di compromissione. Avvisi relativi all'eliminazione dei file di log di sistema. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
I file appena creati da origini diverse dai programmi di aggiornamento del sistema potrebbero essere backdoor, exploit del kernel o parte di una catena di sfruttamento. Avvisa quando viene eseguito un file creato o modificato entro 30 minuti, esclusi i file creati dai programmi di aggiornamento del sistema. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
La modifica dell'archivio certificati radice potrebbe indicare l'installazione di un'autorità di certificazione non autorizzata, abilitando l'intercettazione del traffico di rete o ignorando la verifica della firma del codice. Avvisa quando viene modificato un archivio certificati ca di sistema. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
L'impostazione setuid/setgid dei bit può essere usata per fornire un metodo permanente per l'escalation dei privilegi in un nodo. Avvisa quando setuid o setgid bit è impostato su un file con la chmod famiglia di chiamate di sistema. |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Gli utenti malintenzionati spesso creano file nascosti come mezzo per nascondere strumenti e payload in un host compromesso. Avvisa quando un file nascosto viene creato da un processo associato a un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Gli utenti malintenzionati potrebbero modificare le utilità di sistema per eseguire payload dannosi ogni volta che vengono eseguite queste utilità. Avvisa quando un'utilità di sistema comune viene modificata da un processo non autorizzato. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Un utente malintenzionato o un utente non autorizzato potrebbe usare o installare questi programmi per esaminare le reti connesse per consentire la compromissione di nodi aggiuntivi. Avvisi quando vengono eseguiti gli strumenti comuni del programma di analisi di rete. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Gli utenti malintenzionati potrebbero avviare un nuovo servizio di rete per fornire un facile accesso a un host dopo la compromissione. Avvisa quando un programma avvia un nuovo servizio di rete, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Un utente malintenzionato o un utente non autorizzato potrebbe eseguire comandi di analisi della rete per acquisire credenziali, informazioni personali (PII) o altre informazioni riservate. Avvisa quando viene eseguito un programma che consente l'acquisizione di rete. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
L'uso di strumenti di trasferimento file potrebbe indicare che un utente malintenzionato sta tentando di spostare set di strumenti in host aggiuntivi o esfiltrare dati in un sistema remoto. Avvisa quando viene eseguito un programma associato alla copia di file remoti, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
I canali di comando e di controllo e i minatori cryptocoin spesso creano nuove connessioni di rete in uscita su porte insolite. Avvisa quando un programma avvia una nuova connessione su una porta non comune, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Dopo aver ottenuto l'accesso a un sistema, un utente malintenzionato potrebbe creare un archivio compresso di file per ridurre le dimensioni dei dati per l'esfiltrazione. Avvisa quando viene eseguito un programma di compressione dei dati, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
L'uso di tecniche di inserimento di processi indica in genere che un utente sta eseguendo il debug di un programma, ma potrebbe anche indicare che un utente malintenzionato legge i segreti da o inserisce codice in altri processi. Avvisa quando un programma usa ptrace meccanismi (debug) per interagire con un altro processo. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Gli utenti malintenzionati usano spesso programmi di enumerazione account per determinare il livello di accesso e per verificare se altri utenti sono attualmente connessi al nodo. Avvisa quando viene eseguito un programma associato all'enumerazione dell'account, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
L'esplorazione dei file system è un comportamento post-sfruttamento comune per un utente malintenzionato alla ricerca di credenziali e dati di interesse. Avvisa quando viene eseguito un programma associato all'enumerazione di file e directory, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Gli utenti malintenzionati possono interrogare la rete locale e instradare le informazioni per identificare gli host e le reti adiacenti prima dello spostamento laterale. Avvisa quando viene eseguito un programma associato all'enumerazione di configurazione di rete, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Gli utenti malintenzionati spesso elencano i programmi in esecuzione per identificare lo scopo di un nodo e se sono presenti strumenti di sicurezza o monitoraggio. Avvisa quando viene eseguito un programma associato all'enumerazione del processo, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Gli utenti malintenzionati eseguono in genere comandi di enumerazione del sistema per determinare le versioni e le funzionalità del kernel Linux e della distribuzione, spesso per identificare se il nodo è interessato da vulnerabilità specifiche. Avvisa quando viene eseguito un programma associato all'enumerazione delle informazioni di sistema, se il programma fa già parte di un evento imprevisto in corso. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
La modifica delle attività pianificate è un metodo comune per stabilire la persistenza in un nodo compromesso. Avvisa quando i comandi crontab , at o batch vengono usati per modificare le configurazioni delle attività pianificate. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Le modifiche apportate alle unità di sistema potrebbero comportare la disattivazione o la disabilitazione dei controlli di sicurezza o l'installazione di un servizio dannoso. Avvisa quando il systemctl comando viene usato per modificare le unità di sistema. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
L'escalation esplicita all'utente radice riduce la possibilità di correlare l'attività con privilegi a un utente specifico. Avvisa quando viene eseguito il comando su . |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Avvisa quando viene eseguito il comando sudo . |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
L'eliminazione del file di cronologia è insolita, comunemente eseguita dagli utenti malintenzionati che nascondono l'attività o da utenti legittimi che intendono evitare controlli di controllo. Genera avvisi quando vengono eliminati i file della cronologia della riga di comando. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Un utente malintenzionato potrebbe aggiungere un nuovo utente a un host per fornire un metodo affidabile di accesso. Avvisa se una nuova entità utente viene aggiunta al file /etc/passwd di gestione dell'account locale, se l'entità non viene aggiunta da un programma di aggiornamento del sistema. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Gli utenti malintenzionati potrebbero modificare direttamente i file correlati all'identità per aggiungere un nuovo utente al sistema. Avvisa quando un file correlato alle password utente viene modificato da un programma non correlato all'aggiornamento delle informazioni utente esistenti. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
L'aggiunta di una nuova chiave pubblica SSH è un metodo comune per ottenere l'accesso permanente a un host compromesso. Avvisa quando viene osservato un tentativo di scrittura nel file SSH authorized_keys di un utente, se il programma fa già parte di un evento imprevisto in corso. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
L'aggiunta di un nuovo utente è un passaggio comune per gli utenti malintenzionati quando si stabilisce la persistenza in un nodo compromesso. Avvisa quando un programma di gestione delle identità viene eseguito da un programma diverso da uno strumento di gestione pacchetti. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
L'eliminazione del file di cronologia è insolita, comunemente eseguita dagli utenti malintenzionati che nascondono l'attività o da utenti legittimi che intendono evitare controlli di controllo. Genera avvisi quando vengono eliminati i file della cronologia della riga di comando. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
I file di configurazione e profilo utente vengono spesso modificati come metodo di persistenza per eseguire un programma ogni volta che un utente accede. Avvisa quando .bash_profile e bashrc (nonché i file correlati) vengono modificati da un programma diverso da uno strumento di aggiornamento del sistema. |
- instanceId |
Eventi di monitoraggio antivirus
Nota
L'oggetto response
JSON in questi log di controllo ha sempre un result
campo che include una riga del risultato dell'analisi originale. Ogni risultato dell'analisi è rappresentato in genere da più record del log di controllo, uno per ogni riga dell'output di analisi originale. Per informazioni dettagliate su ciò che potrebbe essere visualizzato in questo file, vedere la documentazione di terze parti seguente.
L'evento seguente clamAVScanService-dataplane
viene registrato a livello di area di lavoro.
Service | Azione | Descrizione | Parametri della richiesta |
---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Il monitoraggio antivirus esegue un'analisi. Verrà generato un log per ogni riga dell'output di analisi originale. | - instanceId |
Eventi del log deprecati
Databricks ha deprecato gli eventi di diagnostica seguenti databrickssql
:
createAlertDestination
(oracreateNotificationDestination
)deleteAlertDestination
(oradeleteNotificationDestination
)updateAlertDestination
(oraupdateNotificationDestination
)muteAlert
unmuteAlert
Log degli endpoint SQL
Se si creano sql warehouse usando l'API dell'endpoint SQL deprecata (il nome precedente per SQL Warehouse), il nome dell'evento di controllo corrispondente includerà la parola Endpoint
anziché Warehouse
. Oltre al nome, questi eventi sono identici agli eventi di SQL warehouse. Per visualizzare descrizioni e parametri di richiesta di questi eventi, vedere gli eventi di warehouse corrispondenti negli eventi SQL di Databricks.
Gli eventi dell'endpoint SQL sono:
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig