Naslaginformatie over systeemtabel auditlogboeken
Belangrijk
Deze systeemtabel bevindt zich in openbare preview. Voor toegang tot de tabel moet het schema zijn ingeschakeld in uw system catalogus. Zie Systeemtabelschema's inschakelen voor meer informatie.
Dit artikel bevat een overzicht van het schema van de tabel auditlogboek en bevat voorbeeldquery's die u kunt gebruiken met de systeemtabel voor auditlogboeken om algemene vragen over accountgebruik te beantwoorden. Zie de naslaginformatie over diagnostische logboeken voor informatie over gebeurtenissen in auditlogboeken.
Tabelpad: Deze systeemtabel bevindt zich op system.access.audit.
Overwegingen voor auditlogboeken
- De meeste auditlogboeken zijn alleen beschikbaar in de regio van de werkruimte.
- Auditlogboeken op accountniveau registreren
workspace_idals0.
Schema van systeemtabel auditlogboek
De systeemtabel van het auditlogboek maakt gebruik van het volgende schema:
| Kolomnaam | Gegevenstype | Beschrijving | Voorbeeld |
|---|---|---|---|
version |
tekenreeks | Schemaversie van auditlogboek | 2.0 |
event_time |
timestamp | Tijdstempel van de gebeurtenis. Tijdzonegegevens worden vastgelegd aan het einde van de waarde met +00:00 de UTC-tijdzone. |
2023-01-01T01:01:01.123+00:00 |
event_date |
datum | Kalenderdatum waarop de actie heeft plaatsgevonden | 2023-01-01 |
workspace_id |
long | Id van de werkruimte | 1234567890123456 |
source_ip_address |
tekenreeks | IP-adres waar de aanvraag afkomstig is | 10.30.0.242 |
user_agent |
tekenreeks | Oorsprong van aanvraag | Apache-HttpClient/4.5.13 (Java/1.8.0_345) |
session_id |
tekenreeks | Id van de sessie waaruit de aanvraag afkomstig is | 123456789 |
user_identity |
tekenreeks | Identiteit van de initiƫrende aanvraag van de gebruiker | {"email": "user@domain.com","subjectName": null} |
service_name |
tekenreeks | Aanvraag voor initiƫren van servicenaam | unityCatalog |
action_name |
tekenreeks | Categorie van de gebeurtenis die is vastgelegd in het auditlogboek | getTable |
request_id |
tekenreeks | Id van aanvraag | ServiceMain-4529754264 |
request_params |
map | Toewijzing van sleutelwaarden met alle aanvraagparameters. Afhankelijk van het aanvraagtype | [["full_name_arg", "user.chat.messages"],["workspace_id", "123456789"],["metastore_id", "123456789"]] |
response |
Struct | Struct van antwoord retourwaarden | {"statusCode": 200, "errorMessage": null,"result": null} |
audit_level |
tekenreeks | Gebeurtenis op werkruimte- of accountniveau | ACCOUNT_LEVEL |
account_id |
tekenreeks | Id van het account | 23e22ba4-87b9-4cc2-9770-d10b894bxx |
event_id |
tekenreeks | Id van de gebeurtenis | 34ac703c772f3549dcc8671f654950f0 |
identity_metadata |
Struct | Identiteiten die betrokken zijn bij de actie, waaronder run_by en run_as. Zie toegewezen rekenactiviteit voor de controlegroep. |
{run_by: example@email.com; run_as: example@email.com; |
Voorbeeldquery's
De volgende secties bevatten voorbeeldquery's die u kunt gebruiken om inzicht te krijgen in de systeemtabel van uw auditlogboeken. Vervang de waarden tussen accolades {{}} door uw parameters om deze query's te laten werken.
Notitie
Enkele voorbeelden zijn uitgebreide auditlogboekgebeurtenissen, die standaard niet zijn ingeschakeld. Zie Uitgebreide auditlogboeken inschakelen in een werkruimte als u uitgebreide auditlogboeken wilt inschakelen.
Dit artikel bevat de volgende voorbeeldquery's:
- Wie heeft er toegang tot deze tabel?
- Welke gebruikers hebben de afgelopen dag toegang tot een tabel gehad?
- Welke tabellen hebben een gebruiker toegang?
- Wijzigingen in machtigingen weergeven voor alle beveiligbare objecten
- De laatst uitgevoerde notebookopdrachten weergeven
- Welke gebruikers hebben zich aangemeld bij een Databricks-app?
- Welke Databricks-apps zijn bijgewerkt om te wijzigen hoe de app wordt gedeeld met andere gebruikers of groepen?
Wie heeft er toegang tot deze tabel?
Deze query gebruikt de information_schema query om te bepalen welke gebruikers machtigingen hebben voor een tabel.
SELECT DISTINCT(grantee) AS `ACCESSIBLE BY`
FROM system.information_schema.table_privileges
WHERE table_schema = '{{schema_name}}' AND table_name = '{{table_name}}'
UNION
SELECT table_owner
FROM system.information_schema.tables
WHERE table_schema = '{{schema_name}}' AND table_name = '{{table}}'
UNION
SELECT DISTINCT(grantee)
FROM system.information_schema.schema_privileges
WHERE schema_name = '{{schema_name}}'
Welke gebruikers hebben de afgelopen dag toegang tot een tabel gehad?
Notitie
Volledige namen worden niet vastgelegd in het logboek voor DML-bewerkingen. Neem het schema en de eenvoudige naam op om alles vast te leggen.
SELECT
user_identity.email as `User`,
IFNULL(request_params.full_name_arg,
request_params.name)
AS `Table`,
action_name AS `Type of Access`,
event_time AS `Time of Access`
FROM system.access.audit
WHERE (request_params.full_name_arg = '{{catalog.schema.table}}'
OR (request_params.name = '{{table_name}}'
AND request_params.schema_name = '{{schema_name}}'))
AND action_name
IN ('createTable','getTable','deleteTable')
AND event_date > now() - interval '1 day'
ORDER BY event_date DESC
Welke tabellen hebben een gebruiker toegang?
Notitie
Als u wilt filteren op datumbereik, moet u de opmerkingen bij de datumcomponent onder aan de query verwijderen.
SELECT
action_name as `EVENT`,
event_time as `WHEN`,
IFNULL(request_params.full_name_arg, 'Non-specific') AS `TABLE ACCESSED`,
IFNULL(request_params.commandText,'GET table') AS `QUERY TEXT`
FROM system.access.audit
WHERE user_identity.email = '{{User}}'
AND action_name IN ('createTable',
'commandSubmit','getTable','deleteTable')
-- AND datediff(now(), event_date) < 1
-- ORDER BY event_date DESC
Voorbeeldresultaat
EVENT |
WHEN |
TABLE ACCESSED |
QUERY TEXT |
|---|---|---|---|
getTable |
2023-05-31 |
system.access.audit |
GET table |
getTable |
2023-05-31 |
system.access.table_lineage |
GET table |
commandSubmit |
2023-05-31 |
Non-specific |
show functions; |
commandSubmit |
2023-05-31 |
Non-specific |
SELECTrequest_paramsFROMsystem.access.auditWHEREservice_name = "notebook"AND action_name = "moveFolder"LIMIT5 |
Wijzigingen in machtigingen weergeven voor alle beveiligbare objecten
Deze query retourneert een gebeurtenis voor elke machtigingswijziging die in uw account is opgetreden. De query retourneert de gebruiker die de wijziging heeft aangebracht, het beveiligbare objecttype en de naam en de specifieke wijzigingen die zijn aangebracht.
SELECT event_time, user_identity.email, request_params.securable_type, request_params.securable_full_name, request_params.changes
FROM system.access.audit
WHERE service_name = 'unityCatalog'
AND action_name = 'updatePermissions'
ORDER BY 1 DESC
De laatst uitgevoerde notebookopdrachten weergeven
Deze query retourneert de laatst uitgevoerde notebookopdrachten en de gebruiker die de opdracht heeft uitgevoerd.
Notitie
De runCommand actie wordt alleen verzonden wanneer uitgebreide auditlogboeken zijn ingeschakeld. Zie Uitgebreide auditlogboeken inschakelen als u uitgebreide auditlogboeken wilt inschakelen.
SELECT event_time, user_identity.email, request_params.commandText
FROM system.access.audit
WHERE action_name = `runCommand`
ORDER BY event_time DESC
LIMIT 100
Welke gebruikers hebben zich aangemeld bij een Databricks-app?
Deze query retourneert een gebeurtenis voor elke aanmelding bij een Databricks-app-exemplaar.
SELECT
event_date,
workspace_id,
request_params.request_object_id as app,
user_identity.email as user_email,
user_identity.subject_name as username
FROM
system.access.audit
WHERE
action_name IN ("workspaceInHouseOAuthClientAuthentication", "mintOAuthToken", "mintOAuthAuthorizationCode")
AND
request_params["client_id"] LIKE "{{application-ID}}"
GROUP BY
event_date,
workspace_id,
app,
user_email,
username
Vervang door {{application-ID}} de waarde van de toepassings-id voor de service-principal die is toegewezen aan een specifieke Databricks-app. Deze waarde vindt u in de beheerinstellingen voor de Databricks-werkruimte die als host fungeert voor de app.
Welke Databricks-apps zijn bijgewerkt om te wijzigen hoe de app wordt gedeeld met andere gebruikers of groepen?
Deze query retourneert gebeurtenissen voor machtigingsupdates om de toegang tot Databricks-apps te wijzigen, inclusief het machtigingstype, de gebruiker of groep waaraan de nieuwe machtiging is toegewezen en de gebruiker die de wijziging heeft ingediend.
SELECT
event_date,
workspace_id,
request_params['request_object_id'] as app,
user_identity['email'] as sharing_user,
acl_entry['group_name'],
acl_entry['user_name'],
acl_entry['permission_level']
FROM
system.access.audit t
LATERAL VIEW
explode(from_json(request_params['access_control_list'], 'array<struct<user_name:string,permission_level:string,group_name:string>>')) acl_entry AS acl_entry
WHERE
action_name = 'changeAppsAcl'
AND
request_params['request_object_type'] = 'apps'
ORDER BY
event_date DESC