Справочник по журналу диагностики
Примечание.
Для этой функции требуется план "Премиум".
В этой статье содержится исчерпывающая справка по службам журналов аудита и событиям. Доступность этих служб зависит от того, как вы обращаетесь к журналам:
- Система журнала аудита table записывает все события и службы, перечисленные в этой статье.
- Служба параметров диагностики Azure Monitor не регистрирует все эти службы. Службы, недоступные в параметрах диагностики Azure, помечены соответствующим образом.
Примечание.
Azure Databricks сохраняет копию журналов аудита до 1 года для целей анализа безопасности и мошенничества.
Службы журналов диагностики
Следующие службы и их события регистрируются по умолчанию в журналах диагностики.
Примечание.
Обозначения уровня рабочей области и учетных записей применяются только к системе журналов аудита table. Журналы диагностики Azure не включают события уровня учетной записи.
Службы уровня рабочей области
| Service name | Description |
|---|---|
| Счета | События, связанные с учетными записями, пользователями, группами и списками доступа к IP-адресам. |
| aibiGenie | События, связанные с пространствами AI/BI Genie ,. |
| Кластеров | События, связанные с кластерами. |
| clusterPolicies | События, связанные с политиками кластера. |
| Панели мониторинга | События, связанные с использованием панели мониторинга AI/BI. |
| databrickssql | События, связанные с использованием Databricks SQL. |
| dataMonitoring | События, связанные с мониторингом Lakehouse. |
| dbfs | События, связанные с DBFS. |
| deltaPipelines | События, связанные с конвейерами Delta Live Table. |
| featureStore | События, связанные с хранилищем признаков Databricks. |
| filesystem | События, связанные с управлением файлами, которые включают взаимодействие с файлами с помощью API файлов или в пользовательском интерфейсе volumes. |
| джинн | События, связанные с доступом к рабочей области сотрудниками службы поддержки. Не связанные пространства AI/BI Genie. |
| gitCredentials | События, связанные с credentials для папок Databricks Git. См. также repos. |
| globalInitScripts | События, связанные с глобальными скриптами инициализации. |
| Группы | События, связанные с группами учетных записей и рабочих областей. |
| iamRole | События, связанные с разрешениями роли IAM. |
| проглатывание | События, связанные с отправкой файлов. |
| instancePools | События, связанные с пулами. |
| jobs | События, связанные с заданиями. |
| отслеживание родословной | События, связанные с происхождением данных . |
| MarketplaceConsumer | События, связанные с действиями потребителей в Databricks Marketplace. |
| MarketplaceProvider | События, связанные с действиями поставщика в Databricks Marketplace. |
| mlflowAcledArtifact | События, связанные с артефактами ML Flow с ACL. |
| mlflowExperiment | События, связанные с экспериментами ML Flow. |
| ModelRegistry | События, связанные с реестром моделей. |
| записная книжка | События, связанные с записными книжками. |
| partnerConnect | События, связанные с Partner Connect. |
| прогнознаяOptimization | События, связанные с прогнозной оптимизацией. |
| RemoteHistoryService | События, связанные с добавлением и удалением GitHub Credentials. |
| репозитории | События, связанные с папками Databricks Git. См. также gitCredentials. |
| Секреты | События, связанные с секретами. |
| бессервернаяrealTimeInference | События, связанные с обслуживанием модели. |
| sqlPermissions | События, связанные с контролем доступа в устаревшем хранилище метаданных Hive table. |
| ssh | События, связанные с доступом SSH. |
| vectorSearch | События, связанные с векторным поиском. |
| webTerminal | События, связанные с функцией веб-терминала . |
| рабочая область | События, связанные с рабочими областями. |
Службы уровня учетной записи
Журналы аудита на уровне учетной записи доступны для этих служб:
| Service name | Description |
|---|---|
| accountBillableUsage | Действия, связанные с доступом к оплачиваемому использованию в консоли учетной записи. |
| accountsAccessControl | Действия, связанные с правилами управления доступом на уровне учетной записи. |
| accountsManager | Действия, связанные с конфигурациями сетевого подключения. |
| budgetPolicyCentral | Действия, связанные с управлением политиками бюджета. |
| unityCatalog | Действия, выполняемые в Unity Catalog. Это также включает события разностного общего доступа, см. сведения о событиях разностного общего доступа. |
Дополнительные службы мониторинга безопасности
Существуют дополнительные службы и связанные действия для рабочих областей, использующих профиль безопасности соответствия (необходимые для некоторых стандартов соответствия, таких как FedRAMP, PCI и HIPAA) или расширенный мониторинг безопасности.
Это службы уровня рабочей области, которые будут generate только в ваших журналах, если вы используете профиль соответствия требованиям безопасности или расширенный мониторинг безопасности.
| Service name | Description |
|---|---|
| capsule8-alerts-dataplane | Действия, связанные с мониторингом целостности файлов. |
| clamAVScanService-dataplane | Действия, связанные с антивирусным мониторингом. |
Пример журнала диагностики schema
В Azure Databricks журналы диагностики выводируют события в формате JSON. В Azure Databricks журналы аудита выводируют события в формате JSON. Свойства serviceName идентифицируют actionName событие. Соглашение об именовании следует REST API Databricks.
Следующий пример JSON является примером события, зарегистрированного при создании задания пользователем:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Рекомендации по диагностическому журналу schema
- Если действия выполняются долго, запрос и ответ регистрируются отдельно, но пара запросов и ответов совпадают
requestId. - Автоматические действия, такие как изменение размера кластера из-за автомасштабирования или запуска задания из-за планирования, выполняются пользователем
System-User. - Поле
requestParamsподлежит усечению. Если размер представления JSON превышает 100 КБ, values усечены, а строка... truncatedдобавляется к усеченным записям. В редких случаях where усеченная карта по-прежнему превышает 100 КБ, вместо этого присутствует один ключTRUNCATEDс пустым значением.
События учетной записи
Ниже перечислены accounts события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в рабочей области". | - targetUserName- endpoint- targetUserId |
accounts |
aadBrowserLogin |
Пользователь входит в Databricks с помощью рабочего процесса браузера Идентификатора Майкрософт. | - user |
accounts |
aadTokenLogin |
Пользователь входит в Databricks с помощью маркера идентификатора Microsoft Entra. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности. | - endpoint |
accounts |
activateUser |
Администратор добавляет пользователя в учетную запись Databricks из портал Azure. | - warehouse- targetUserName- targetUserId |
accounts |
add |
Пользователь добавляется в рабочую область Azure Databricks. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня рабочей области. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
changeDatabricksSqlAcl |
Изменяются разрешения SQL пользователя Databricks. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Разрешения для рабочей области изменяются. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDbTokenAcl |
При изменении разрешений маркера. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeServicePrincipalAcls |
При изменении разрешений субъекта-службы. | - shardName- targetServicePrincipal- resourceId- aclPermissionSet |
accounts |
createGroup |
Создается группа уровня рабочей области. | - endpoint- targetGroupId- targetGroupName |
accounts |
createIpAccessList |
В рабочую область добавляется IP-доступ list. | - ipAccessListId- userId |
accounts |
deactivateUser |
Пользователь деактивирован в рабочей области. См. раздел "Отключить пользователей в рабочей области". | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Пользователь удаляется из рабочей области Azure Databricks. | - targetUserId- targetUserName- endpoint |
accounts |
deleteIpAccessList |
IP-доступ list удален из рабочей области. | - ipAccessListId- userId |
accounts |
garbageCollectDbToken |
Пользователь запускает команду сбора мусора на маркерах с истекшим сроком действия. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
Когда пользователь создает маркер из параметров пользователя или когда служба создает маркер. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
IpAccessDenied |
Пользователь пытается подключиться к службе через запрещенный IP-адрес. | - path- userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
Пользователь входит в Databricks с помощью JWT. | - user |
accounts |
login |
Пользователь входит в рабочую область. | - user |
accounts |
logout |
Пользователь выходит из рабочей области. | - user |
accounts |
oidcTokenAuthorization |
Когда вызов API авторизован через универсальный токен OIDC/OAuth. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Если текущее число неисчисленных маркеров превышает квоту маркера | |
accounts |
removeAdmin |
Пользователь отменяет разрешения администратора рабочей области. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Группа удаляется из рабочей области. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
revokeDbToken |
Маркер пользователя удаляется из рабочей области. Может быть активирован пользователем, удаленным из учетной записи Databricks. | - userId |
accounts |
setAdmin |
Пользователю предоставляются разрешения администратора учетной записи. | - endpoint- targetUserName- targetUserId |
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью маркера. | - tokenId- user |
accounts |
updateIpAccessList |
Изменяется доступ к IP list. | - ipAccessListId- userId |
accounts |
updateUser |
Изменение выполняется в учетной записи пользователя. | - warehouse- targetUserName- targetUserId |
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. | - endpoint- targetUserName- targetUserId |
события панели мониторинга AI/BI
Ниже перечислены dashboards события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
dashboards |
getDashboard |
Пользователь обращается к черновику панели мониторинга, просматривая ее в пользовательском интерфейсе или запрашивая определение панели мониторинга с помощью API. Доступ к черновику панели мониторинга может получить только пользователи рабочей области. | - dashboard_id |
dashboards |
getPublishedDashboard |
Пользователь обращается к опубликованной версии панели мониторинга, просматривая в пользовательском интерфейсе или запрашивая определение панели мониторинга с помощью API. Включает действия как пользователей рабочей области, так и пользователей учетной записи. Исключает получение PDF-снимка панели мониторинга с помощью запланированного сообщения электронной почты. | - dashboard_id- credentials_embedded |
dashboards |
executeQuery |
Пользователь выполняет запрос с панели мониторинга. | - dashboard_id- statement_id |
dashboards |
cancelQuery |
Пользователь отменяет запрос с панели мониторинга. | - dashboard_id- statement_id |
dashboards |
getQueryResult |
Пользователь получает результаты запроса с панели мониторинга. | - dashboard_id- statement_id |
dashboards |
sendDashboardSnapshot |
Моментальный снимок PDF панели мониторинга отправляется по запланированному сообщению электронной почты. Запрос parametersvalues зависит от типа получателя. Для назначения уведомления Databricks отображается только это destination_id значение. Для пользователя Databricks отображаются идентификатор пользователя и адрес электронной почты подписчика. Если получатель является адресом электронной почты, отображается только адрес электронной почты. |
- dashboard_id- subscriber_destination_id- subscriber_user_details: {user_id,email_address } |
dashboards |
getDashboardDetails |
Пользователь обращается к сведениям о черновике панели мониторинга, например наборах данных и мини-приложениях.
getDashboardDetails всегда выдается, когда пользователь views черновой версии панели мониторинга с помощью пользовательского интерфейса или запрашивает определение панели мониторинга с помощью API. |
- dashboard_id |
dashboards |
createDashboard |
Пользователь создает новую панель мониторинга AI/BI с помощью пользовательского интерфейса или API. | - dashboard_id |
dashboards |
updateDashboard |
Пользователь делает update на панели мониторинга AI/BI с помощью пользовательского интерфейса или API. | - dashboard_id |
dashboards |
cloneDashboard |
Пользователь клонирует панель мониторинга ИИ/BI. | - source_dashboard_id- new_dashboard_id |
dashboards |
publishDashboard |
Пользователь публикует панель мониторинга AI/BI с внедренным credentials или без нее с помощью пользовательского интерфейса или API. | - dashboard_id- credentials_embedded- warehouse_id |
dashboards |
unpublishDashboard |
Пользователь отменяет публикацию опубликованной панели мониторинга AI/BI с помощью пользовательского интерфейса или API. | - dashboard_id |
dashboards |
trashDashboard |
Пользователь перемещает панель мониторинга AI/BI в корзину с помощью пользовательского интерфейса или API. | - dashboard_id |
dashboards |
restoreDashboard |
Пользователь восстанавливает панель мониторинга AI/BI из корзины. | - dashboard_id |
dashboards |
migrateDashboard |
Пользователь переносит панель мониторинга DBSQL на панель мониторинга AI/BI. | - source_dashboard_id- new_dashboard_id |
dashboards |
createSchedule |
Пользователь создает расписание подписки электронной почты. | - dashboard_id- schedule_id |
dashboards |
updateSchedule |
Пользователь вносит изменение update в расписание панели мониторинга AI/BI. | - dashboard_id- schedule_id |
dashboards |
deleteSchedule |
Пользователь удаляет расписание панели мониторинга ИИ/BI. | - dashboard_id- schedule_id |
dashboards |
createSubscription |
Пользователь подписывает назначение электронной почты на расписание панели мониторинга AI/BI. | - dashboard_id- schedule_id- schedule |
dashboards |
deleteSubscription |
Пользователь удаляет назначение электронной почты из расписания панели мониторинга AI/BI. | - dashboard_id- schedule_id |
события AI/BI Genie
Ниже перечислены aibiGenie события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
aibiGenie |
createSpace |
Пользователь создает новое пространство Genie.
space_id нового пространства регистрируется в responsecolumn. |
|
aibiGenie |
getSpace |
Пользователь получает доступ к пространству Genie. | - space_id |
aibiGenie |
updateSpace |
Пользователь обновляет параметры пространства Genie. Возможные параметры включают название, описание, хранилище, tablesи примеры вопросов. | - space_id- display_name- description- warehouse_id- table_identifiers |
aibiGenie |
trashSpace |
Пространство Genie перемещается в корзину. | - space_id |
aibiGenie |
cloneSpace |
Пользователь клонирует рабочее пространство Genie. | - space_id |
aibiGenie |
createConversation |
Пользователь создает новый поток беседы в пространстве Genie. | - space_id |
aibiGenie |
listConversations |
Пользователь открывает раздел list с беседами в области Genie. | - space_id |
aibiGenie |
getConversation |
Пользователь открывает тему обсуждения в пространстве Genie. | - conversation_id- space_id |
aibiGenie |
updateConversation |
Пользователь обновляет название потока беседы. | - conversation_id- space_id |
aibiGenie |
deleteConversation |
Пользователь удаляет ветку беседы в пространстве Genie. | - conversation_id- space_id |
aibiGenie |
listGenieSpaceMessages |
Пользователь с разрешениями CAN MANAGE обращается к журналу пространства Genie, который включает сообщения, отправленные всеми пользователями. | - space_id |
aibiGenie |
listGenieSpaceUserMessages |
Пользователь с разрешениями CAN VIEW обращается к журналу пространства Genie и views свои ранее отправленные сообщения. | - space_id |
aibiGenie |
executeFullQueryResult |
Пользователь получает полные результаты запроса (до 1 ГБ в размере). | - space_id- conversation_id- message_id |
aibiGenie |
getMessageQueryResult |
Genie извлекает результаты запроса, относящиеся к сообщению разговора. | - conversation_id- space_id, message_id |
aibiGenie |
updateMessageAttachment |
Пользователь обновляет и повторно запускает запрос в сообщении. | - conversation_id- space_id- message_id- attachment_id |
aibiGenie |
createConversationMessage |
Пользователь отправляет новое сообщение в пространство Genie. | - conversation_id- space_id |
aibiGenie |
getConversationMessage |
Пользователь получает доступ к сообщению в пространстве Genie. | - conversation_id- space_id- message_id |
aibiGenie |
deleteConversationMessage |
Пользователь удаляет существующее сообщение. | - conversation_id- space_id- message_id |
aibiGenie |
regenerateConversationMessage |
Пользователь повторно создает ответ Genie на существующее сообщение. | - conversation_id- space_id- message_id |
aibiGenie |
updateConversationMessage |
Пользователь обновляет атрибут сообщения в пространстве Genie. Например, они могут запросить проверку или изменить SQL в ответе. | - conversation_id- space_id- message_id |
aibiGenie |
updateConversationMessageFeedback |
Пользователь вносит изменения в отзыв на ответ Genie. | - conversation_id- space_id- message_id |
aibiGenie |
executeMessageQuery |
Genie выполняет сгенерированный SQL для возврата результатов запроса, включая действия с данными refresh. | - conversation_id- space_id- message_id |
aibiGenie |
cancelMessage |
Пользователь отменяет сообщение до завершения ответа Genie. | - conversation_id- space_id- message_id |
aibiGenie |
createInstruction |
Пользователь создает инструкцию для пространства «Genie». | - space_id- instruction_type |
aibiGenie |
listInstructions |
Пользователь переходит на вкладку "Инструкции" или вкладку "Данные". | - space_id |
aibiGenie |
updateInstruction |
Пользователь обновляет инструкцию для пространства Genie. | - space_id- instruction_id |
aibiGenie |
deleteInstruction |
Пользователь удаляет инструкцию для пространства Genie. | - space_id- instruction_id |
aibiGenie |
updateSampleQuestions |
Пользователь обновляет примеры вопросов по умолчанию для пространства. | - space_id |
aibiGenie |
createCuratedQuestion |
Пользователь создает пример вопроса или вопрос теста. | - space_id |
aibiGenie |
deleteCuratedQuestion |
Пользователь удаляет пример вопроса или вопрос теста. | - space_id- curated_question_id |
aibiGenie |
listCuratedQuestions |
Пользователь обращается к list примеров вопросов или контрольных вопросов в пространстве. Это регистрируется всякий раз, когда пользователи открывают новый чат, просматривают тесты или добавляют примеры вопросов. | - space_id |
aibiGenie |
updateCuratedQuestion |
Пользователь обновляет пример вопроса или вопрос теста. | - space_id- curated_question_id |
aibiGenie |
createEvaluationResult |
Genie создает результат оценки для конкретного вопроса в ходе выполнения оценки. | - space_id- eval_id |
aibiGenie |
getEvaluationResult |
Пользователь обращается к результатам конкретного вопроса в ходе оценки. | - space_id- eval_id |
aibiGenie |
getEvaluationResultDetails |
Пользователь получает доступ к результатам запроса для конкретного вопроса в рамках оценки. | - space_id- eval_id |
aibiGenie |
updateEvaluationResult |
Пользователь обновляет результат оценки для конкретного вопроса. | - space_id- eval_id |
aibiGenie |
createEvaluationRun |
Пользователь создает новый запуск оценки. | - space_id |
aibiGenie |
listEvaluationResults |
Пользователь обращается к list результатов для выполнения оценки. | - space_id- run_id |
aibiGenie |
listEvaluationRuns |
Пользователь обращается к list всех оценочных запусков. | - space_id |
aibiGenie |
createConversationMessageComment |
Пользователь добавляет комментарий обратной связи в сообщение беседы. | - conversation_id- space_id- message_id |
aibiGenie |
listConversationMessageComments |
Пользователь получает доступ к list комментариям обратной связи из пространства. | - space_id- conversation_ids- message_ids- user_ids- comment_types |
aibiGenie |
deleteConversationMessageComment |
Пользователь удаляет комментарий обратной связи, добавленный в сообщение беседы. | - conversation_id- space_id- message_id- message_comment_id |
События кластеров
Ниже перечислены cluster события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
clusters |
changeClusterAcl |
Пользователь изменяет список ACL кластера. | - shardName- aclPermissionSet- targetUserId- resourceId |
clusters |
create |
Пользователь создает кластер. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
createResult |
Результаты создания кластера. В сочетании с create. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
delete |
Кластер завершается. | - cluster_id |
clusters |
deleteResult |
Результаты завершения кластера. В сочетании с delete. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
edit |
Пользователь вносит изменения в параметры кластера. В этом журнале регистрируются все изменения, кроме изменений в размере кластера или поведении автомасштабирования. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
permanentDelete |
Кластер удаляется из пользовательского интерфейса. | - cluster_id |
clusters |
resize |
Изменение размера кластера. Это фиксируется на запущенных кластерах where, единственное свойство, которое изменяется, - это либо размер кластера, либо поведение автомасштабирования. | - cluster_id- num_workers- autoscale |
clusters |
resizeResult |
Результаты изменения размера кластера. В сочетании с resize. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
restart |
Пользователь перезапускает запущенный кластер. | - cluster_id |
clusters |
restartResult |
Результаты перезапуска кластера. В сочетании с restart. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
start |
Пользователь запускает кластер. | - init_scripts_safe_mode- cluster_id |
clusters |
startResult |
Результаты из запуска кластера. В сочетании с start. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
События библиотек кластера
Ниже перечислены clusterLibraries события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
clusterLibraries |
installLibraries |
Пользователь устанавливает библиотеку в кластере. | - cluster_id- libraries |
clusterLibraries |
uninstallLibraries |
Пользователь удаляет библиотеку в кластере. | - cluster_id- libraries |
clusterLibraries |
installLibraryOnAllClusters |
Администратор рабочей области планирует установку библиотеки во всех кластерах. | - user- library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Администратор рабочей области удаляет библиотеку из list для установки во всех кластерах. | - user- library |
События политики кластера
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
Ниже перечислены clusterPolicies события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
clusterPolicies |
create |
Пользователь создал политику кластера. | - name |
clusterPolicies |
edit |
Пользователь редактировал политику кластера. | - policy_id- name |
clusterPolicies |
delete |
Пользователь удалил политику кластера. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Администратор рабочей области изменяет разрешения для политики кластера. | - shardName- targetUserId- resourceId- aclPermissionSet |
События Databricks SQL
Ниже перечислены databrickssql события, зарегистрированные на уровне рабочей области.
Примечание.
Если вы управляете хранилищами SQL с помощью устаревшего API конечных точек SQL, события аудита хранилища SQL будут иметь разные имена действий. См . журналы конечных точек SQL.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Мини-приложение добавляется на панель мониторинга. | - dashboardId- widgetId |
databrickssql |
cancelQueryExecution |
Выполнение запроса отменено из пользовательского интерфейса редактора SQL. Это не включает отмены, исходящие из пользовательского интерфейса журнала запросов или API выполнения SQL Databricks. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Диспетчер хранилища обновляет разрешения на хранилище SQL. | - aclPermissionSet- resourceId- shardName- targetUserId |
databrickssql |
changePermissions |
Пользователь обновляет разрешения для объекта. | - granteeAndPermission- objectId- objectType |
databrickssql |
cloneDashboard |
Пользователь клонирует панель мониторинга. | - dashboardId |
databrickssql |
commandSubmit |
Только в подробных журналах аудита. Создается при отправке команды в хранилище SQL независимо от происхождения запроса. | - warehouseId- commandId- validation- commandText |
databrickssql |
commandFinish |
Только в подробных журналах аудита. Создается при завершении или отмене команды в хранилище SQL независимо от источника запроса на отмену. | - warehouseId- commandId |
databrickssql |
createAlert |
Пользователь создает оповещение. | - alertId |
databrickssql |
createNotificationDestination |
Администратор рабочей области создает назначение уведомления. | - notificationDestinationId- notificationDestinationType |
databrickssql |
createDashboard |
Пользователь создает панель мониторинга. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Пользователь создает панель мониторинга предварительного просмотра данных. | - dashboardId |
databrickssql |
createWarehouse |
Пользователь с правами создания кластера создает хранилище SQL. | - auto_resume- auto_stop_mins- channel- cluster_size- conf_pairs- custom_cluster_confs- enable_databricks_compute- enable_photon- enable_serverless_compute- instance_profile_arn- max_num_clusters- min_num_clusters- name- size- spot_instance_policy- tags- test_overrides |
databrickssql |
createQuery |
Пользователь создает новый запрос. | - queryId |
databrickssql |
createQueryDraft |
Пользователь создает черновик запроса. | - queryId |
databrickssql |
createQuerySnippet |
Пользователь создает фрагмент запроса. | - querySnippetId |
databrickssql |
createSampleDashboard |
Пользователь создает пример панели мониторинга. | - sampleDashboardId |
databrickssql |
createVisualization |
Пользователь создает визуализацию с помощью редактора SQL. Исключает результаты по умолчанию tables и визуализации в записных книжках, использующих хранилища SQL. | - queryId- visualizationId |
databrickssql |
deleteAlert |
Пользователь удаляет оповещение из интерфейса генерации оповещений или через API. Исключает удаление из пользовательского интерфейса браузера файлов. | - alertId |
databrickssql |
deleteNotificationDestination |
Администратор рабочей области удаляет назначение уведомления. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Пользователь удаляет панель мониторинга из интерфейса панели мониторинга или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Пользователь удаляет мини-приложение панели мониторинга. | - widgetId |
databrickssql |
deleteWarehouse |
Диспетчер склада удаляет хранилище SQL. | - id |
databrickssql |
deleteQuery |
Пользователь удаляет запрос из интерфейса запроса или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. | - queryId |
databrickssql |
deleteQueryDraft |
Пользователь удаляет черновик запроса. | - queryId |
databrickssql |
deleteQuerySnippet |
Пользователь удаляет фрагмент запроса. | - querySnippetId |
databrickssql |
deleteVisualization |
Пользователь удаляет визуализацию из запроса в редакторе SQL. | - visualizationId |
databrickssql |
downloadQueryResult |
Пользователь загружает результат запроса из редактора SQL. Исключает скачивание с панелей мониторинга. | - fileType- queryId- queryResultId- credentialsEmbedded- credentialsEmbeddedId |
databrickssql |
editWarehouse |
Диспетчер склада вносит изменения в хранилище SQL. | - auto_stop_mins- channel- cluster_size- confs- enable_photon- enable_serverless_compute- id- instance_profile_arn- max_num_clusters- min_num_clusters- name- spot_instance_policy- tags |
databrickssql |
executeAdhocQuery |
Создается одним из следующих элементов: — Пользователь запускает черновик запроса в редакторе SQL — запрос выполняется из агрегирования визуализации — Пользователь загружает панель мониторинга и выполняет базовые запросы. |
- dataSourceId |
databrickssql |
executeSavedQuery |
Пользователь запускает сохраненный запрос. | - queryId |
databrickssql |
executeWidgetQuery |
Создается любым событием, выполняющим запрос, таким образом, что панель мониторинга обновляется. Ниже приведены некоторые примеры применимых событий: — обновление одной панели — обновление всей панели мониторинга — запланированные выполнения панели мониторинга — Изменения параметров или фильтров, работающих более чем на 64 000 строк |
- widgetId |
databrickssql |
favoriteDashboard |
Пользователь любит панель мониторинга. | - dashboardId |
databrickssql |
favoriteQuery |
Пользователь предпочитает запрос. | - queryId |
databrickssql |
forkQuery |
Пользователь клонирует запрос. | - originalQueryId- queryId |
databrickssql |
listQueries |
Пользователь открывает страницу описания запросов или вызывает API запросов list. | - filter_by- include_metrics- max_results- page_token |
databrickssql |
moveAlertToTrash |
Пользователь перемещает оповещение в корзину. | - alertId |
databrickssql |
moveDashboardToTrash |
Пользователь перемещает панель мониторинга в корзину. | - dashboardId |
databrickssql |
moveQueryToTrash |
Пользователь перемещает запрос в корзину. | - queryId |
databrickssql |
restoreAlert |
Пользователь восстанавливает оповещение из корзины. | - alertId |
databrickssql |
restoreDashboard |
Пользователь восстанавливает панель мониторинга из корзины. | - dashboardId |
databrickssql |
restoreQuery |
Пользователь восстанавливает запрос из корзины. | - queryId |
databrickssql |
setWarehouseConfig |
Диспетчер склада задает конфигурацию для хранилища SQL. | - data_access_config- enable_serverless_compute- instance_profile_arn- security_policy- serverless_agreement- sql_configuration_parameters- try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Пользователь запрашивает моментальный снимок панели мониторинга. Включает запланированные моментальные снимки панели мониторинга. | - dashboardId |
databrickssql |
startWarehouse |
Запущено хранилище SQL. | - id |
databrickssql |
stopWarehouse |
Диспетчер склада останавливает хранилище SQL. Исключает автоматическое заполнение складов. | - id |
databrickssql |
transferObjectOwnership |
Администратор рабочей области передает права собственности на панель мониторинга, запрос или оповещение активному пользователю через API владения объектами передачи. Передача владения через пользовательский интерфейс или update API не фиксируется этим событием журнала аудита. | - newOwner- objectId- objectType |
databrickssql |
unfavoriteDashboard |
Пользователь удаляет панель мониторинга из избранного. | - dashboardId |
databrickssql |
unfavoriteQuery |
Пользователь удаляет запрос из избранного. | - queryId |
databrickssql |
updateAlert |
Пользователь обновляет оповещение.
ownerUserName заполняется, если владение оповещением передается с помощью API. |
- alertId- queryId- ownerUserName |
databrickssql |
updateNotificationDestination |
Администратор рабочей области делает update в место назначения уведомления. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Пользователь выполняет update для виджета панели инструментов. Исключает изменения масштабирования осей. Примеры применимых обновлений: — изменение размера мини-приложения или размещения — Добавление или удаление мини-приложения parameters |
- widgetId |
databrickssql |
updateDashboard |
Пользователь создает update в свойство панели мониторинга. Исключает изменения расписаний и подписок. Примеры применимых обновлений: — Изменение имени панели мониторинга — Изменение хранилища SQL — изменение параметров запуска от имени |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Администратор рабочей области обновляет параметры SQL рабочей области. | - has_configured_data_access- has_explored_sql_warehouses- has_granted_permissions |
databrickssql |
updateQuery |
Пользователь делает запрос update.
ownerUserName заполняется, если владение запросом передается с помощью API. |
- queryId- ownerUserName |
databrickssql |
updateQueryDraft |
Пользователь вносит изменение update в черновик запроса. | - queryId |
databrickssql |
updateQuerySnippet |
Пользователь делает update в отношении фрагмента запроса. | - querySnippetId |
databrickssql |
updateVisualization |
Пользователь обновляет визуализацию из редактора SQL или панели мониторинга. | - visualizationId |
События мониторинга данных
dataMonitoring Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
dataMonitoring |
CreateMonitor |
Пользователь создает монитор. | - data_classification_config- full_table_name_arg- assets_dir- schedule- output_schema_name- notifications- inference_log |
dataMonitoring |
UpdateMonitor |
Пользователь делает update на монитор. | - data_classification_config- table_name- full_table_name_arg- drift_metrics_table_name- dashboard_id- custom_metrics- assets_dir- monitor_version- profile_metrics_table_name- baseline_table_name- status- output_schema_name- inference_log- slicing_exprs |
dataMonitoring |
DeleteMonitor |
Пользователь удаляет монитор. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
Монитор обновляется по расписанию или вручную. | - full_table_name_arg |
События DBFS
Следующие данные tables включают события dbfs, зарегистрированные на уровне рабочей области.
Существует два типа событий DBFS: вызовы API и операционные события.
События API DBFS
Следующие события аудита DBFS регистрируются только при записи с помощью REST API DBFS.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
dbfs |
addBlock |
Пользователь добавляет блок данных в поток. Это используется в сочетании с dbfs/create для потоковой передачи данных в DBFS. | - handle- data_length |
dbfs |
create |
Пользователь открывает поток для записи файла в DBFs. | - path- bufferSize- overwrite |
dbfs |
delete |
Пользователь удаляет файл или каталог из СУБД. | - recursive- path |
dbfs |
mkdirs |
Пользователь создает новый каталог DBFS. | - path |
dbfs |
move |
Пользователь перемещает файл из одного расположения в другое расположение в DBFs. | - dst- source_path- src- destination_path |
dbfs |
put |
Пользователь отправляет файл с помощью многопартийной записи формы в DBFs. | - path- overwrite |
Операционные события DBFS
В плоскости вычислений происходят следующие события аудита DBFS.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
dbfs |
mount |
Пользователь создает точку подключения в определенном расположении DBFS. | - mountPoint- owner |
dbfs |
unmount |
Пользователь удаляет точку подключения в определенном расположении DBFS. | - mountPoint |
События разностных конвейеров
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Пользователь изменяет разрешения на конвейер. | - shardId- targetUserId- resourceId- aclPermissionSet |
deltaPipelines |
create |
Пользователь создает конвейер Delta Live Tables. | - allow_duplicate_names- clusters- configuration- continuous- development- dry_run- id- libraries- name- storage- target- channel- edition- photon |
deltaPipelines |
delete |
Пользователь удаляет конвейер Delta Live Tables. | - pipeline_id |
deltaPipelines |
edit |
Пользователь редактирует конвейер обработки данных Delta Live Tables. | - allow_duplicate_names- clusters- configuration- continuous- development- expected_last_modified- id- libraries- name- pipeline_id- storage- target- channel- edition- photon |
deltaPipelines |
startUpdate |
Пользователь перезапускает конвейер Delta Live Tables. | - cause- full_refresh- job_task- pipeline_id |
deltaPipelines |
stop |
Пользователь останавливает конвейер Delta Live Tables. | - pipeline_id |
События хранилища компонентов
featureStore Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
featureStore |
addConsumer |
Потребитель добавляется в хранилище компонентов. | - features- job_run- notebook |
featureStore |
addDataSources |
Источник данных добавляется в функцию table. | - feature_table- paths, tables |
featureStore |
addProducer |
Производитель добавляется в функцию table. | - feature_table- job_run- notebook |
featureStore |
changeFeatureTableAcl |
Разрешения изменяются в компоненте table. | - aclPermissionSet- resourceId- shardName- targetUserId |
featureStore |
createFeatureTable |
Создается функция table. | - description- name- partition_keys- primary_keys- timestamp_keys |
featureStore |
createFeatures |
Функции создаются в функции table. | - feature_table- features |
featureStore |
deleteFeatureTable |
Удаляется компонент table. | - name |
featureStore |
deleteTags |
Теги удаляются из функции table. | - feature_table_id- keys |
featureStore |
getConsumers |
Пользователь делает вызов к get для потребителей в функции table. | - feature_table |
featureStore |
getFeatureTable |
Пользователь вызывает функцию gettables. | - name |
featureStore |
getFeatureTablesById |
Пользователь осуществляет вызов к функциям get с идентификаторами table. | - ids |
featureStore |
getFeatures |
Пользователь вызывает функции get. | - feature_table- max_results |
featureStore |
getModelServingMetadata |
Пользователь вызывает метаданные службы get модели. | - feature_table_features |
featureStore |
getOnlineStore |
Пользователь обращается к сведениям об интернет-магазине get. | - cloud- feature_table- online_table- store_type |
featureStore |
getTags |
Пользователь обращается к тегам get для функции table. | - feature_table_id |
featureStore |
publishFeatureTable |
Опубликована функция table. | - cloud- feature_table- host- online_table- port- read_secret_prefix- store_type- write_secret_prefix |
featureStore |
searchFeatureTables |
Пользователь ищет функцию tables. | - max_results- page_token- text |
featureStore |
setTags |
Теги добавляются в функцию table. | - feature_table_id- tags |
featureStore |
updateFeatureTable |
Обновлена функция table. | - description- name |
События файлов
filesystem Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
filesystem |
filesGet |
Пользователь загружает файл с помощью API файлов или пользовательского интерфейса volumes. | - path- transferredSize |
filesystem |
filesPut |
Пользователь отправляет файл с помощью API файлов или пользовательского интерфейса volumes. | - path- receivedSize |
filesystem |
filesDelete |
Пользователь удаляет файл с помощью API файлов или пользовательского интерфейса volumes. | - path |
filesystem |
filesHead |
Пользователь получает сведения о файле с помощью API файлов или пользовательского интерфейса volumes. | - path |
События Genie
genie Следующие события регистрируются на уровне рабочей области.
Примечание.
Эта служба не связана с пространствами AI/BI Genie. См. события AI/BI Genie.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
genie |
databricksAccess |
Персонал Databricks может получить доступ к клиентской среде. | - duration- approver- reason- authType- user |
События учетных данных Git
gitCredentials Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
gitCredentials |
getGitCredential |
Пользователь получает git credentials. | - id |
gitCredentials |
listGitCredentials |
Пользователь перечисляет все элементы Git credentials | ничего |
gitCredentials |
deleteGitCredential |
Пользователь удаляет учетные данные Git. | - id |
gitCredentials |
updateGitCredential |
Пользователь обновляет учетные данные Git. | - id- git_provider- git_username |
gitCredentials |
createGitCredential |
Пользователь создает учетные данные Git. | - git_provider- git_username |
События глобальных сценариев инициализации
globalInitScripts Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
globalInitScripts |
create |
Администратор рабочей области создает скрипт глобальной инициализации. | - name- position- script-SHA256- enabled |
globalInitScripts |
update |
Администратор рабочей области обновляет скрипт глобальной инициализации. | - script_id- name- position- script-SHA256- enabled |
globalInitScripts |
delete |
Администратор рабочей области удаляет скрипт глобальной инициализации. | - script_id |
Группы событий
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
groups Следующие события регистрируются на уровне рабочей области. Эти действия связаны с устаревшими группами ACL. Действия, связанные с группами на уровне учетной записи и рабочей области, см. в разделе "События учетной записи" и "События учетной записи уровня учетной записи".
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
groups |
addPrincipalToGroup |
Администратор добавляет пользователя в группу. | - user_name- parent_name |
groups |
createGroup |
Администратор создает группу. | - group_name |
groups |
getGroupMembers |
Администратор views участников группы. | - group_name |
groups |
getGroups |
Администратор viewslist групп | ничего |
groups |
getInheritedGroups |
Администратор views унаследовал группы | ничего |
groups |
removeGroup |
Администратор удаляет группу. | - group_name |
События роли IAM
iamRole Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
iamRole |
changeIamRoleAcl |
Администратор рабочей области изменяет разрешения для роли IAM. | - targetUserId- shardName- resourceId- aclPermissionSet |
События приема
ingestion Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
ingestion |
proxyFileUpload |
Пользователь отправляет файл в рабочую область Azure Databricks. | - x-databricks-content-length-0- x-databricks-total-files |
События пула экземпляров
instancePools Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Пользователь изменяет разрешения пула экземпляров. | - shardName- resourceId- targetUserId- aclPermissionSet |
instancePools |
create |
Пользователь создает пул экземпляров. | - enable_elastic_disk- preloaded_spark_versions- idle_instance_autotermination_minutes- instance_pool_name- node_type_id- custom_tags- max_capacity- min_idle_instances- aws_attributes |
instancePools |
delete |
Пользователь удаляет пул экземпляров. | - instance_pool_id |
instancePools |
edit |
Пользователь изменяет пул экземпляров. | - instance_pool_name- idle_instance_autotermination_minutes- min_idle_instances- preloaded_spark_versions- max_capacity- enable_elastic_disk- node_type_id- instance_pool_id- aws_attributes |
События задания
jobs Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
jobs |
cancel |
Выполнение задания отменено. | - run_id |
jobs |
cancelAllRuns |
Пользователь отменяет все запуски в задании. | - job_id |
jobs |
changeJobAcl |
Пользователь обновляет разрешения для задания. | - shardName- aclPermissionSet- resourceId- targetUserId |
jobs |
create |
Пользователь создает задание. | - spark_jar_task- email_notifications- notebook_task- spark_submit_task- timeout_seconds- libraries- name- spark_python_task- job_type- new_cluster- existing_cluster_id- max_retries- schedule- run_as |
jobs |
delete |
Пользователь удаляет задание. | - job_id |
jobs |
deleteRun |
Пользователь удаляет выполнение задания. | - run_id |
jobs |
getRunOutput |
Пользователь вызывает API для get получения результатов выполнения. | - run_id- is_from_webapp |
jobs |
repairRun |
Пользователь восстанавливает выполнение задания. | - run_id- latest_repair_id- rerun_tasks |
jobs |
reset |
Задание reset. | - job_id- new_settings |
jobs |
resetJobAcl |
Пользователь запрашивает изменение разрешений задания. | - grants- job_id |
jobs |
runCommand |
Доступно при включении подробных журналов аудита. Создается после выполнения команды в записной книжке. Команда соответствует ячейке записной книжки. | - jobId- runId- notebookId- executionTime- status- commandId- commandText |
jobs |
runFailed |
Выполнение задания завершается сбоем. | - jobClusterType- jobTriggerType- jobId- jobTaskType- runId- jobTerminalState- idInJob- orgId- runCreatorUserName |
jobs |
runNow |
Пользователь активирует выполнение задания по запросу. | - notebook_params- job_id- jar_params- workflow_context |
jobs |
runStart |
Создается при запуске задания после проверки и создания кластера. Запрос parameters, исходящий из этого события, зависит от типа задач в работе. Помимо parameters, перечисленных выше, они могут включать: - dashboardId (для задачи панели мониторинга SQL)- filePath (для задачи sql-файла)- notebookPath (для задачи записной книжки)- mainClassName (для задачи Spark JAR)- pythonFile (для задачи Spark JAR)- projectDirectory (для задачи dbt)- commands (для задачи dbt)- packageName (для задачи колеса Python)- entryPoint (для задачи колеса Python)- pipelineId (для задачи конвейера)- queryIds (для задачи SQL-запроса)- alertId (для задачи оповещения SQL) |
- taskDependencies- multitaskParentRunId- orgId- idInJob- jobId- jobTerminalState- taskKey- jobTriggerType- jobTaskType- runId- runCreatorUserName |
jobs |
runSucceeded |
Выполнение задания выполнено успешно. | - idInJob- jobId- jobTriggerType- orgId- runId- jobClusterType- jobTaskType- jobTerminalState- runCreatorUserName |
jobs |
runTriggered |
Расписание задания активируется автоматически в соответствии с расписанием или триггером. | - jobId- jobTriggeredType- runId |
jobs |
sendRunWebhook |
Веб-перехватчик отправляется, когда задание начинается, завершается или завершается сбоем. | - orgId- jobId- jobWebhookId- jobWebhookEvent- runId |
jobs |
setTaskValue |
Пользователь задает values для задачи. | - run_id- key |
jobs |
submitRun |
Пользователь отправляет однократное выполнение через API. | - shell_command_task- run_name- spark_python_task- existing_cluster_id- notebook_task- timeout_seconds- libraries- new_cluster- spark_jar_task |
jobs |
update |
Пользователь изменяет параметры задания. | - job_id- fields_to_remove- new_settings- is_from_dlt |
события отслеживания родословной
lineageTracking Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
lineageTracking |
listColumnLineages |
Пользователь обращается к list вышестоящего или нижестоящего columns в column. | - table_name- column_name- lineage_direction: направление происхождения (UPSTREAM или DOWNSTREAM). |
lineageTracking |
listSecurableLineagesBySecurable |
Пользователь обращается к list вышестоящего или нижнего уровня защищаемых объектов защищаемого объекта. | - securable_full_name- securable_type- lineage_direction: направление происхождения (UPSTREAM или DOWNSTREAM). |
lineageTracking |
listEntityLineagesBySecurable |
Пользователь получает доступ к list сущностей (например, блокнотов, заданий и т. д.), которые записывают данные в защищаемые объекты или считывают их. | - securable_full_name- securable_type- lineage_direction: направление происхождения (UPSTREAM или DOWNSTREAM).- entity_response_filter: тип сущности (записная книжка, задание, панель мониторинга, конвейер, запрос, конечная точка обслуживания и т. д.). |
lineageTracking |
getColumnLineages |
Пользователь получает линейки для column, table и его column. | - table_name- column_name |
lineageTracking |
getTableEntityLineages |
Пользователь получает восходящие и нисходящие родословные table. | - table_name- include_entity_lineage |
lineageTracking |
getJobTableLineages |
Пользователь получает вышестоящий и подчиненный table происхождения задания. | - job_id |
lineageTracking |
getFunctionLineages |
Пользователь получает входящие и исходящие объекты безопасности и сущности (записные книжки, задания и т. д.) функции. | - function_name |
lineageTracking |
getModelVersionLineages |
Пользователь получает объекты безопасности, связанные с входящими и исходящими потоками данных (записные книжки, задания и т. д.) модели и её версии. | - model_name- version |
lineageTracking |
getEntityTableLineages |
Пользователь получает вышестоящий и подчиненный tables сущности (записные книжки, задания и т. д.). | - entity_type- entity_id |
lineageTracking |
getFrequentlyJoinedTables |
Пользователь получает часто присоединенные tables для table. | - table_name |
lineageTracking |
getFrequentQueryByTable |
Пользователь получает часто задаваемые запросы для table. | - source_table_name |
lineageTracking |
getFrequentUserByTable |
Пользователь получает список часто используемых пользователей для table. | - table_name |
lineageTracking |
getTablePopularityByDate |
Пользователь получает степень популярности (количество запросов) для table за прошлый месяц. | - table_name |
lineageTracking |
getPopularEntities |
Пользователь получает популярные сущности (записные книжки, задания и т. д.) для объекта table. |
-
scope. Задает область для извлечения популярных сущностей из рабочей области или из имени table.- table_name |
lineageTracking |
getPopularTables |
Пользователь получает сведения о популярности table для listtables. |
-
scope. Задает область получения популярных tablesлибо из хранилища метаданных, либо из tablelist.- table_name_list |
События потребителей Marketplace
marketplaceConsumer Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Пользователь получает доступ к продукту данных через Databricks Marketplace. | - listing_id- listing_name- share_name- catalog_name- request_context: массив сведений об учетной записи и хранилище метаданных, которые получили доступ к продукту данных |
marketplaceConsumer |
requestDataProduct |
Пользователь запрашивает доступ к продукту данных, которому требуется утверждение поставщика. | - listing_id- listing_name- catalog_name- request_context: массив сведений об учетной записи и хранилище метаданных, запрашивающих доступ к продукту данных |
События поставщика Marketplace
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
marketplaceProvider Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
marketplaceProvider |
createListing |
Администратор хранилища метаданных создает список в профиле поставщика. |
-
listing: массив сведений о списке- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateListing |
Администратор метахранилища вносит update в список в профиле поставщика. | - id- listing: массив сведений о списке- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
deleteListing |
Администратор хранилища метаданных удаляет список в профиле поставщика. | - id- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateConsumerRequestStatus |
Администраторы хранилища метаданных утверждают или запрещают запрос на продукт данных. | - listing_id- request_id- status- reason- share: массив сведений о общей папке- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
createProviderProfile |
Администратор хранилища метаданных создает профиль поставщика. |
-
provider: массив сведений о поставщике- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateProviderProfile |
Администратор хранилища метаданных вносит изменение update в профиль поставщика. | - id- provider: массив сведений о поставщике- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
deleteProviderProfile |
Администратор хранилища метаданных удаляет свой профиль поставщика. | - id- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
uploadFile |
Поставщик отправляет файл в профиль поставщика. |
-
request_context: массив сведений об учетной записи поставщика и хранилище метаданных- marketplace_file_type- display_name- mime_type- file_parent: массив родительских сведений о файле |
marketplaceProvider |
deleteFile |
Поставщик удаляет файл из профиля поставщика. | - file_id- request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
Артефакты MLflow с событиями ACL
mlflowAcledArtifact Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Пользователь вызывает чтение артефакта. | - artifactLocation- experimentId- runId |
mlflowAcledArtifact |
writeArtifact |
Пользователь вызывает запись в артефакт. | - artifactLocation- experimentId- runId |
События эксперимента MLflow
mlflowExperiment Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Пользователь создает эксперимент MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Пользователь удаляет эксперимент MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
moveMlflowExperiment |
Пользователь перемещает эксперимент MLflow. | - newPath- experimentId- oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Пользователь восстанавливает эксперимент MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
renameMlflowExperiment |
Пользователь переименовывает эксперимент MLflow. | - oldName- newName- experimentId- parentPath |
События реестра моделей MLflow
mlflowModelRegistry Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Пользователь утверждает запрос на переход стадии версии модели. | - name- version- stage- archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Пользователь обновляет разрешения для зарегистрированной модели. | - registeredModelId- userId |
modelRegistry |
createComment |
Пользователь публикует комментарий к версии модели. | - name- version |
modelRegistry |
createModelVersion |
Пользователь создает версию модели. | - name- source- run_id- tags- run_link |
modelRegistry |
createRegisteredModel |
Пользователь создает новую зарегистрированную модель | - name- tags |
modelRegistry |
createRegistryWebhook |
Пользователь создает веб-перехватчик для событий реестра моделей. | - orgId- registeredModelId- events- description- status- creatorId- httpUrlSpec |
modelRegistry |
createTransitionRequest |
Пользователь создает запрос на переход стадии версии модели. | - name- version- stage |
modelRegistry |
deleteComment |
Пользователь удаляет комментарий к версии модели. | - id |
modelRegistry |
deleteModelVersion |
Пользователь удаляет версию модели. | - name- version |
modelRegistry |
deleteModelVersionTag |
Пользователь удаляет тег версии модели. | - name- version- key |
modelRegistry |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель | - name |
modelRegistry |
deleteRegisteredModelTag |
Пользователь удаляет тег для зарегистрированной модели. | - name- key |
modelRegistry |
deleteRegistryWebhook |
Пользователь удаляет веб-перехватчик реестра моделей. | - orgId- webhookId |
modelRegistry |
deleteTransitionRequest |
Пользователь отменяет запрос на переход на этапе версии модели. | - name- version- stage- creator |
modelRegistry |
finishCreateModelVersionAsync |
Завершено копирование асинхронной модели. | - name- version |
modelRegistry |
generateBatchInferenceNotebook |
Записная книжка для вывода пакетной службы создается автоматически. | - userId- orgId- modelName- inputTableOpt- outputTablePathOpt- stageOrVersion- modelVersionEntityOpt- notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Автоматически создается инференс-записная книжка для конвейера Delta Live Tables. | - userId- orgId- modelName- inputTable- outputTable- stageOrVersion- notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания версии модели. | - name- version |
modelRegistry |
getModelVersionSignedDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания подписанной версии модели. | - name- version- path |
modelRegistry |
listModelArtifacts |
Пользователь делает запрос к артефактам модели list. | - name- version- path- page_token |
modelRegistry |
listRegistryWebhooks |
Пользователь вызывает list, чтобы активировать все веб-перехватчики реестра в модели. | - orgId- registeredModelId |
modelRegistry |
rejectTransitionRequest |
Пользователь отклоняет запрос на переход стадии версии модели. | - name- version- stage |
modelRegistry |
renameRegisteredModel |
Пользователь переименовывает зарегистрированную модель | - name- new_name |
modelRegistry |
setEmailSubscriptionStatus |
Пользователь обновляет состояние подписки электронной почты для зарегистрированной модели | |
modelRegistry |
setModelVersionTag |
Пользователь задает тег версии модели. | - name- version- key- value |
modelRegistry |
setRegisteredModelTag |
Пользователь задает тег версии модели. | - name- key- value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Пользователь обновляет состояние Уведомления по электронной почте для всего реестра. | - orgId- userId- subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Пользователь проверяет веб-перехватчик реестра моделей. | - orgId- webhookId |
modelRegistry |
transitionModelVersionStage |
Пользователь получает list всех открытых запросов на переход стадии, относящихся к версии модели. | - name- version- stage- archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Веб-перехватчик реестра моделей активируется событием. | - orgId- registeredModelId- events- status |
modelRegistry |
updateComment |
Пользователь публикует изменения в комментарии к версии модели. | - id |
modelRegistry |
updateRegistryWebhook |
Пользователь обновляет веб-перехватчик реестра моделей. | - orgId- webhookId |
События обслуживания модели
serverlessRealTimeInference Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Разрешения пользователей обновляются для конечной точки вывода. | - shardName- targetUserId- resourceId- aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Пользователь создает конечную точку обслуживания модели. | - name- config |
serverlessRealTimeInference |
deleteServingEndpoint |
Пользователь удаляет конечную точку обслуживания модели. | - name |
serverlessRealTimeInference |
disable |
Пользователь отключает обслуживание модели для зарегистрированной модели. | - registered_mode_name |
serverlessRealTimeInference |
enable |
Пользователь включает обслуживание моделей для зарегистрированной модели. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Пользователи инициируют вызов get для предварительной версии запроса schema. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
Пользователь обновляет конечную точку обслуживания модели. | - name- served_models- traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
Пользователь обновляет ограничения скорости для конечной точки вывода. Ограничения скорости применяются только к API-интерфейсам модели Foundation за токен и внешним конечным точкам модели. | - name- rate_limits |
События записной книжки
notebook Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
notebook |
attachNotebook |
Записная книжка подключена к кластеру. | - path- clusterId- notebookId |
notebook |
cloneNotebook |
Пользователь клонирует записную книжку. | - notebookId- path- clonedNotebookId- destinationPath |
notebook |
createNotebook |
Создается записная книжка. | - notebookId- path |
notebook |
deleteFolder |
Папка записной книжки удаляется. | - path |
notebook |
deleteNotebook |
Записная книжка удаляется. | - notebookId- notebookName- path |
notebook |
detachNotebook |
Записная книжка отсоединяется от кластера. | - notebookId- clusterId- path |
notebook |
downloadLargeResults |
Пользователь скачивает результаты запроса слишком большими для отображения в записной книжке. | - notebookId- notebookFullPath |
notebook |
downloadPreviewResults |
Пользователь скачивает результаты запроса. | - notebookId- notebookFullPath |
notebook |
importNotebook |
Пользователь импортирует записную книжку. | - path |
notebook |
moveFolder |
Папка записной книжки перемещается из одного расположения в другое. | - oldPath- newPath- folderId |
notebook |
moveNotebook |
Записная книжка перемещается из одного расположения в другое. | - newPath- oldPath- notebookId |
notebook |
renameNotebook |
Записная книжка переименована. | - newName- oldName- parentPath- notebookId |
notebook |
restoreFolder |
Удаленная папка восстанавливается. | - path |
notebook |
restoreNotebook |
Удаленная записная книжка восстанавливается. | - path- notebookId- notebookName |
notebook |
runCommand |
Доступно при включении подробных журналов аудита. Создается после выполнения команды Databricks в записной книжке. Команда соответствует ячейке записной книжки.executionTime измеряется в секундах. |
- notebookId- executionTime- status- commandId- commandText- commandLanguage |
notebook |
takeNotebookSnapshot |
Моментальные снимки записной книжки выполняются при запуске службы заданий или mlflow. | - path |
События Partner Connect
partnerHub Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Администратор рабочей области настраивает подключение к партнерскому решению. | - partner_name |
partnerHub |
deletePartnerConnection |
Администратор рабочей области удаляет подключение партнера. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Администратор рабочей области скачивает файл подключения партнера. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Администратор рабочей области настраивает ресурсы для подключения партнера. | - partner_name |
События прогнозной оптимизации
predictiveOptimization Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
predictiveOptimization |
PutMetrics |
Записывается при обновлении прогнозной оптимизации table и метрик рабочей нагрузки, чтобы эта служба могла более интеллектуально планировать операции оптимизации. | - table_metrics_list- start_time- end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Администратор учетной записи включает или отключает прогнозную оптимизацию для хранилища метаданных. | - metastore_id- enable |
События службы удаленного журнала
RemoteHistoryService Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
RemoteHistoryService |
addUserGitHubCredentials |
Пользователь добавляет Github Credentials | ничего |
RemoteHistoryService |
deleteUserGitHubCredentials |
Пользователь удаляет Github Credentials | ничего |
RemoteHistoryService |
updateUserGitHubCredentials |
Обновления пользователя Github Credentials | ничего |
События папки Git
repos Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
repos |
checkoutBranch |
Пользователь проверяет ветвь в репозитории. | - id- branch |
repos |
commitAndPush |
Пользователь фиксирует и отправляет его в репозиторий. | - id- message- files- checkSensitiveToken |
repos |
createRepo |
Пользователь создает репозиторий в рабочей области | - url- provider- path |
repos |
deleteRepo |
Пользователь удаляет репозиторий. | - id |
repos |
discard |
Пользователь отменяет фиксацию в репозитории. | - id- file_paths |
repos |
getRepo |
Пользователь запрашивает у get информацию об одном репозитории. | - id |
repos |
listRepos |
Пользователь вызывает get все репозитории, в которых у них есть разрешения на управление. | - path_prefix- next_page_token |
repos |
pull |
Пользователь извлекает последние фиксации из репозитория. | - id |
repos |
updateRepo |
Пользователь обновляет репозиторий на другую ветвь или тег или последнюю фиксацию в той же ветви. | - id- branch- tag- git_url- git_provider |
События секретов
secrets Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
secrets |
createScope |
Пользователь создает область секрета. | - scope- initial_manage_principal- scope_backend_type |
secrets |
deleteAcl |
Пользователь удаляет списки управления доступом для области секрета. | - scope- principal |
secrets |
deleteScope |
Пользователь удаляет область секрета. | - scope |
secrets |
deleteSecret |
Пользователь удаляет секрет из области. | - key- scope |
secrets |
getAcl |
Пользователь получает списки ACL для области секрета. | - scope- principal |
secrets |
getSecret |
Пользователь получает секрет из области. | - key- scope |
secrets |
listAcls |
Пользователь вызывает list списки управления доступом для секретной области. | - scope |
secrets |
listScopes |
Пользователь обращается к секретным сферам list | ничего |
secrets |
listSecrets |
Пользователь вызывает секреты list в области видимости. | - scope |
secrets |
putAcl |
Пользователь изменяет списки ACL для области секрета. | - scope- principal- permission |
secrets |
putSecret |
Пользователь добавляет или редактирует секрет в области. | - string_value- key- scope |
события доступа SQL table
Примечание.
Служба sqlPermissions включает события, связанные с устаревшим хранилищем метаданных Hive table управления доступом. Databricks рекомендует обновить tables, управляемые хранилищем метаданных Hive, до хранилища метаданных Unity Catalog.
sqlPermissions Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Администратор рабочей области или владелец объекта передает владение объектом. | - securable- principal |
sqlPermissions |
createSecurable |
Пользователь создает защищаемый объект. | - securable |
sqlPermissions |
denyPermission |
Владелец объекта запрещает привилегии для защищаемого объекта. | - permission |
sqlPermissions |
grantPermission |
Владелец объекта предоставляет разрешение на защищаемый объект. | - permission |
sqlPermissions |
removeAllPermissions |
Пользователь удаляет защищаемый объект. | - securable |
sqlPermissions |
renameSecurable |
Пользователь переименовывает защищаемый объект. | - before- after |
sqlPermissions |
requestPermissions |
Пользователь запрашивает разрешения на защищаемый объект. | - requests |
sqlPermissions |
revokePermission |
Владелец объекта отменяет разрешения на защищаемый объект. | - permission |
sqlPermissions |
showPermissions |
Разрешения для защищаемого объекта пользователя views. | - securable- principal |
События SSH
ssh Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
ssh |
login |
Вход агента SSH в драйвер Spark. | - containerId- userName- port- publicKey- instanceId |
ssh |
logout |
Выход агента SSH из драйвера Spark. | - userName- containerId- instanceId |
События поиска векторов
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
vectorSearch Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
vectorSearch |
createEndpoint |
Пользователь создает конечную точку векторного поиска. | - name- endpoint_type |
vectorSearch |
deleteEndpoint |
Пользователь удаляет конечную точку векторного поиска. | - name |
vectorSearch |
createVectorIndex |
Пользователь создает индекс векторного поиска. | - name- endpoint_name- primary_key- index_type- delta_sync_index_spec- direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
Пользователь удаляет индекс векторного поиска. | - name- endpoint_name- delete_embedding_writeback_table |
События веб-терминала
webTerminal Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
webTerminal |
startSession |
Пользователь запускает сеансы веб-терминала. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
webTerminal |
closeSession |
Пользователь закрывает сеанс веб-терминала. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
События рабочей области
workspace Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Запрос parameters |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Разрешения для рабочей области изменяются. | - shardName- targetUserId- aclPermissionSet- resourceId |
workspace |
deleteSetting |
Параметр удаляется из рабочей области. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName |
workspace |
fileCreate |
Пользователь создает файл в рабочей области. | - path |
workspace |
fileDelete |
Пользователь удаляет файл в рабочей области. | - path |
workspace |
fileEditorOpenEvent |
Пользователь открывает редактор файлов. | - notebookId- path |
workspace |
getRoleAssignment |
Пользователь получает роли пользователя рабочей области. | - account_id- workspace_id |
workspace |
mintOAuthAuthorizationCode |
Записывается при выполнении кода авторизации OAuth на уровне рабочей области. | - client_id |
workspace |
mintOAuthToken |
Маркер OAuth помят для рабочей области. | - grant_type- scope- expires_in- client_id |
workspace |
moveWorkspaceNode |
Администратор рабочей области перемещает узел рабочей области. | - destinationPath- path |
workspace |
purgeWorkspaceNodes |
Администратор рабочей области очищает узлы рабочей области. | - treestoreId |
workspace |
reattachHomeFolder |
Существующую домашнюю папку повторно присоединяют для пользователя, который повторно добавляется в рабочую область. | - path |
workspace |
renameWorkspaceNode |
Администратор рабочей области переименовывает узлы рабочей области. | - path- destinationPath |
workspace |
unmarkHomeFolder |
Специальные атрибуты домашней папки удаляются при удалении пользователя из рабочей области. | - path |
workspace |
updateRoleAssignment |
Администратор рабочей области обновляет роль пользователя рабочей области. | - account_id- workspace_id- principal_id |
workspace |
updatePermissionAssignment |
Администратор рабочей области добавляет субъект в рабочую область. | - principal_id- permissions |
workspace |
setSetting |
Администратор рабочей области настраивает параметр рабочей области. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
workspace |
workspaceConfEdit |
Администратор рабочей области обновляет параметр, например включение подробных журналов аудита. | - workspaceConfKeys- workspaceConfValues |
workspace |
workspaceExport |
Пользователь экспортирует записную книжку из рабочей области. | - workspaceExportDirectDownload- workspaceExportFormat- notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности в службе рабочей области. | - user |
События использования с выставлением счетов
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
accountBillableUsage Следующие события регистрируются на уровне учетной записи.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
Доступ пользователей к агрегированному оплачиваемому использованию (использование в день) для учетной записи с помощью функции Graph использования. | - account_id- window_size- start_time- end_time- meter_name- workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
Пользователь обращается к подробному оплачиваемому использованию (использованию для каждого кластера) для учетной записи с помощью функции загрузки использования. | - account_id- start_month- end_month- with_pii |
События учетной записи на уровне учетной записи
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
accounts Следующие события регистрируются на уровне учетной записи.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности. | - endpoint |
accounts |
accountIpAclsValidationFailed |
Проверка разрешений IP-адресов завершается ошибкой. Возвращает код состояния 403. | - sourceIpAddress- user: зарегистрирован в качестве адреса электронной почты |
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в учетной записи". | - targetUserName- endpoint- targetUserId |
accounts |
add |
Пользователь добавляется в учетную запись Azure Databricks. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня учетной записи. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
addPrincipalsToGroup |
Пользователи добавляются в группу уровня учетной записи с помощью подготовки SCIM. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
createGroup |
Создается группа уровня учетной записи. | - endpoint- targetGroupId- targetGroupName |
accounts |
deactivateUser |
Пользователь деактивирован. См. раздел "Отключить пользователей в учетной записи". | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Пользователь удаляется из учетной записи Azure Databricks. | - targetUserId- targetUserName- endpoint |
accounts |
deleteSetting |
Администратор учетной записи удаляет параметр из учетной записи Azure Databricks. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
garbageCollectDbToken |
Пользователь запускает команду сбора мусора на маркерах с истекшим сроком действия. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
Пользователь создает маркер из параметров пользователя или при создании маркера. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
login |
Пользователь входит в консоль учетной записи. | - user |
accounts |
logout |
Пользователь выходит из консоли учетной записи. | - user |
accounts |
oidcBrowserLogin |
Пользователь входит в свою учетную запись с помощью рабочего процесса браузера OpenID Connect. | - user |
accounts |
oidcTokenAuthorization |
Маркер OIDC проходит проверку подлинности для имени входа администратора учетной записи. | - user |
accounts |
removeAccountAdmin |
Администратор учетной записи удаляет разрешения администратора учетной записи от другого пользователя. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Группа удаляется из учетной записи. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы на уровне учетной записи. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
removePrincipalsFromGroup |
Пользователи удаляются из группы уровня учетной записи с помощью подготовки SCIM. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
setAccountAdmin |
Администратор учетной записи назначает роль администратора учетной записи другому пользователю. | - targetUserName- endpoint- targetUserId |
accounts |
setSetting |
Администратор учетной записи обновляет параметр уровня учетной записи. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью маркера. | - tokenId- user |
accounts |
updateUser |
Администратор учетной записи обновляет учетную запись пользователя. | - targetUserName- endpoint- targetUserId |
accounts |
updateGroup |
Администратор учетной записи обновляет группу на уровне учетной записи. | - endpoint- targetGroupId- targetGroupName |
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. | - endpoint- targetUserName- targetUserId |
События управления доступом на уровне учетной записи
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
accountsAccessControl Следующее событие регистрируется на уровне учетной записи.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
При изменении правила set. | - account_id- name- rule_set |
События управления учетными записями
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
accountsManager Следующие события регистрируются на уровне учетной записи. Эти события относятся к конфигурациям, сделанным администраторами учетных записей в консоли учетной записи.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
Администратор учетной записи создал конфигурацию сетевого подключения. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
Администратор учетной записи запрашивает сведения о конфигурации сетевого подключения. | - account_id- network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
Администратор учетной записи перечисляет все конфигурации сетевого подключения в учетной записи. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
Администратор учетной записи удалил конфигурацию сетевого подключения. | - account_id- network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи создал правило частной конечной точки. | - account_id- network_connectivity_config_id- azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи запрашивает сведения о правиле частной конечной точки. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
Администратор учетной записи перечисляет все правила частной конечной точки в конфигурации сетевого подключения. | - account_id- network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи удалил правило частной конечной точки. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи обновил правило частной конечной точки. | - account_id- network_connectivity_config_id- rule_id- azure_private_endpoint_rule |
События политики бюджета
budgetPolicyCentral Следующие события регистрируются на уровне учетной записи и связаны с политиками бюджета. См. раздел "Бессерверное использование атрибутов" с политиками бюджета.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
Администратор рабочей области или администратор выставления счетов создает политику бюджета. Новый policy_id зарегистрирован в responsecolumn. |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
Администратор рабочей области, администратор выставления счетов или диспетчер политик обновляет политику бюджета. | - policy.policy_id- policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
Администратор рабочей области, администратор выставления счетов или диспетчер политик удаляет политику бюджета. | - policy_id |
события Unity Catalog
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
Следующие диагностические события связаны с Unity Catalog. События разностного общего доступа также регистрируются в unityCatalog службе. Сведения о событиях разностного общего доступа см. в разделе "События разностного общего доступа". События аудита Catalog Unity можно регистрировать на уровне рабочей области или на уровне учетной записи в зависимости от события.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
unityCatalog |
createMetastore |
Администратор учетной записи создает хранилище метаданных. | - name- storage_root- workspace_id- metastore_id |
unityCatalog |
getMetastore |
Администратор учетной записи запрашивает идентификатор хранилища метаданных. | - id- workspace_id- metastore_id |
unityCatalog |
getMetastoreSummary |
Администратор учетной записи запрашивает сведения о хранилище метаданных. | - workspace_id- metastore_id |
unityCatalog |
listMetastores |
Администратор учетной записи запрашивает list всех metastores в учетной записи. | - workspace_id |
unityCatalog |
updateMetastore |
Администратор учетной записи выполняет действие update в хранилище метаданных. | - id- owner- workspace_id- metastore_id |
unityCatalog |
deleteMetastore |
Администратор учетной записи удаляет хранилище метаданных. | - id- force- workspace_id- metastore_id |
unityCatalog |
updateMetastoreAssignment |
Администратор учетной записи вносит изменение update в назначение рабочей области метахранилища. | - workspace_id- metastore_id- default_catalog_name |
unityCatalog |
createExternalLocation |
Администратор учетной записи создает внешнее расположение. | - name- skip_validation- url- credential_name- workspace_id- metastore_id |
unityCatalog |
getExternalLocation |
Администратор учетной записи запрашивает сведения о внешнем расположении. | - name_arg- include_browse- workspace_id- metastore_id |
unityCatalog |
listExternalLocations |
Администратор учетной записи запрашивает list всех внешних расположений в учетной записи. | - url- max_results- workspace_id- metastore_id |
unityCatalog |
updateExternalLocation |
Администратор учетной записи выполняет update на внешнюю локацию. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteExternalLocation |
Администратор учетной записи удаляет внешнее расположение. | - name_arg- force- workspace_id- metastore_id |
unityCatalog |
createCatalog |
Пользователь создает catalog. | - name- comment- workspace_id- metastore_id |
unityCatalog |
deleteCatalog |
Пользователь удаляет объект catalog. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getCatalog |
Пользователь запрашивает сведения о catalog. | - name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
updateCatalog |
Пользователь обновляет catalog. | - name_arg- isolation_mode- comment- workspace_id- metastore_id |
unityCatalog |
listCatalog |
Пользователь вызывает list все catalogs в хранилище метаданных. | - name_arg- workspace_id- metastore_id |
unityCatalog |
createSchema |
Пользователь создает schema. | - name- catalog_name- comment- workspace_id- metastore_id |
unityCatalog |
deleteSchema |
Пользователь удаляет объект schema. | - full_name_arg- force- workspace_id- metastore_id |
unityCatalog |
getSchema |
Пользователь запрашивает сведения о schema. | - full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
listSchema |
Пользователь запрашивает list всех схем в catalog. | - catalog_name |
unityCatalog |
updateSchema |
Пользователь обновляет schema. | - full_name_arg- name- workspace_id- metastore_id- comment |
unityCatalog |
createStagingTable |
- name- catalog_name- schema_name- workspace_id- metastore_id |
|
unityCatalog |
createTable |
Пользователь создает table. Запрос parameters отличается в зависимости от типа созданного table. | - name- data_source_format- catalog_name- schema_name- storage_location- columns- dry_run- table_type- view_dependencies- view_definition- sql_path- comment |
unityCatalog |
deleteTable |
Пользователь удаляет объект table. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
getTable |
Пользователь запрашивает сведения о table. | - include_delta_metadata- full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
Пользователь совершает звонок к list на все tables в schema. | - catalog_name- schema_name- workspace_id- metastore_id- include_browse |
unityCatalog |
listTableSummaries |
Пользователь получает массив сводок для tables, schema и catalog в метахранилище. | - catalog_name- schema_name_pattern- workspace_id- metastore_id |
unityCatalog |
updateTables |
Пользователь осуществляет update на table. Отображаемый запрос parameters зависит от типа внесенных обновлений table. | - full_name_arg- table_type- table_constraint_list- data_source_format- columns- dependent- row_filter- storage_location- sql_path- view_definition- view_dependencies- owner- comment- workspace_id- metastore_id |
unityCatalog |
createStorageCredential |
Администратор учетной записи создает учетные данные хранения. Вы можете увидеть дополнительный параметр запроса в зависимости от вашего облачного провайдера credentials. | - name- comment- workspace_id- metastore_id |
unityCatalog |
listStorageCredentials |
Администратор учетной записи выполняет запрос к list всем credentials хранилищам в учетной записи. | - workspace_id- metastore_id |
unityCatalog |
getStorageCredential |
Администратор учетной записи запрашивает сведения о учетных данных хранения. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateStorageCredential |
Администратор учетной записи вносит изменение update в учетные данные для хранения. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteStorageCredential |
Администратор учетной записи удаляет учетные данные хранения. | - name_arg- workspace_id- metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Регистрируется всякий раз, когда временные учетные данные предоставляются для table. Это событие можно использовать для определения того, кто запрашивал что и когда. | - credential_id- credential_type- credential_kind- is_permissions_enforcing_client- table_full_name- operation- table_id- workspace_id- table_url- metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Регистрируется всякий раз, когда временные учетные данные предоставляются для пути. | - url- operation- make_path_only_parent- credential_kind- fallback_enabled- workspace_id- metastore_id |
unityCatalog |
checkPathAccess |
Регистрируется всякий раз, когда разрешения пользователя проверяются для заданного пути. | - path- fallback_enabled |
unityCatalog |
getPermissions |
Пользователь обращается к данным о разрешении get для защищаемого объекта. Этот вызов не возвращает унаследованные разрешения, только явно назначенные разрешения. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getEffectivePermissions |
Пользователь вызывает get для получения всех сведений о разрешениях для защищаемого объекта. Вызов эффективных разрешений возвращает как явно назначенные, так и унаследованные разрешения. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
updatePermissions |
Разрешения пользователей обновляются для защищаемого объекта. | - securable_type- changes- securable_full_name- workspace_id- metastore_id |
unityCatalog |
metadataSnapshot |
Пользователь запрашивает метаданные из предыдущей версии table. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
Пользователь запрашивает метаданные и разрешения из предыдущей версии table. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
updateMetadataSnapshot |
Пользователь обновляет метаданные из предыдущей версии table. | - table_list_snapshots- schema_list_snapshots- workspace_id- metastore_id |
unityCatalog |
getForeignCredentials |
Пользователь вызывает функцию get для получения сведений о внешнем ключе. | - securables- workspace_id- metastore_id |
unityCatalog |
getInformationSchema |
Пользователь звонит по get, чтобы получить подробности о schema. | - table_name- page_token- required_column_names- row_set_type- required_column_names- workspace_id- metastore_id |
unityCatalog |
createConstraint |
Пользователь создает constraint для table. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
deleteConstraint |
Пользователь удаляет constraint для table. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
createPipeline |
Пользователь создает конвейер Catalog Unity. | - target_catalog_name- has_workspace_definition- id- workspace_id- metastore_id |
unityCatalog |
updatePipeline |
Пользователь обновляет конвейер Catalog Unity. | - id_arg- definition_json- id- workspace_id- metastore_id |
unityCatalog |
getPipeline |
Пользователь запрашивает сведения о конвейере Catalog Unity. | - id- workspace_id- metastore_id |
unityCatalog |
deletePipeline |
Пользователь удаляет конвейер Unity Catalog. | - id- workspace_id- metastore_id |
unityCatalog |
deleteResourceFailure |
Ресурс не удаляется | ничего |
unityCatalog |
createVolume |
Пользователь создает том Catalog Unity. | - name- catalog_name- schema_name- volume_type- storage_location- owner- comment- workspace_id- metastore_id |
unityCatalog |
getVolume |
Пользователь делает запрос get сведений о томе Catalog Unity. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
updateVolume |
Пользователь обновляет метаданные тома Catalog Unity с помощью вызовов ALTER VOLUME или COMMENT ON. |
- volume_full_name- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteVolume |
Пользователь удаляет том Unity Catalog. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
listVolumes |
Пользователь делает вызов к getlist всех Unity Catalogvolumes в schema. | - catalog_name- schema_name- workspace_id- metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются при выполнении пользователем операции чтения или записи на томе. Это событие можно использовать для определения доступа к тому и времени. | - volume_id- volume_full_name- operation- volume_storage_location- credential_id- credential_type- credential_kind- workspace_id- metastore_id |
unityCatalog |
getTagSecurableAssignments |
Назначения тегов для защищаемого объекта извлекаются | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getTagSubentityAssignments |
Назначения тегов для подсети извлекаются | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Назначения тегов для защищаемого объекта обновляются | - securable_type- securable_full_name- workspace_id- metastore_id- changes |
unityCatalog |
UpdateTagSubentityAssignments |
Обновляются назначения тегов для подсети | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name- changes |
unityCatalog |
createRegisteredModel |
Пользователь создает зарегистрированную модель Unity Catalog. | - name- catalog_name- schema_name- owner- comment- workspace_id- metastore_id |
unityCatalog |
getRegisteredModel |
Пользователь запрашивает информацию о зарегистрированной модели Unity get по номеру Catalog. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
updateRegisteredModel |
Пользователь обновляет метаданные зарегистрированной модели Catalog Unity. | - full_name_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель Unity Catalog. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
listRegisteredModels |
Пользователь вызывает getlist зарегистрированных моделей Unity Catalog в schemaлибо list моделей в разных catalogs и схемах. | - catalog_name- schema_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
createModelVersion |
Пользователь создает версию модели в Unity Catalog. | - catalog_name- schema_name- model_name- source- comment- workspace_id- metastore_id |
unityCatalog |
finalizeModelVersion |
Пользователь вызывает команду "завершить" для версии модели Unity Catalog после загрузки файлов версии модели в место хранения, делая версию модели доступной только для чтения и пригодной для использования в рабочих процессах выводов. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersion |
Пользователь вызывает get для получения сведений о версии модели. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersionByAlias |
Пользователь вызывает get для получения сведений о версии модели с помощью псевдонима. | - full_name_arg- include_aliases- alias_arg- workspace_id- metastore_id |
unityCatalog |
updateModelVersion |
Пользователь обновляет метаданные версии модели. | - full_name_arg- version_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteModelVersion |
Пользователь удаляет версию модели. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
listModelVersions |
Пользователь совершает вызов к get и list версий модели Unity Catalog в зарегистрированной модели. | - catalog_name- schema_name- model_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Временные учетные данные создаются при выполнении пользователем записи (во время начальной версии модели creaiton) или чтения (после завершения версии модели) в версии модели. Это событие можно использовать для определения того, кто обращается к версии модели и когда. | - full_name_arg- version_arg- operation- model_version_url- credential_id- credential_type- credential_kind- workspace_id- metastore_id |
unityCatalog |
setRegisteredModelAlias |
Пользователь задает псевдоним для зарегистрированной модели Unity Catalog. | - full_name_arg- alias_arg- version |
unityCatalog |
deleteRegisteredModelAlias |
Пользователь удаляет псевдоним в зарегистрированной модели Unity Catalog. | - full_name_arg- alias_arg |
unityCatalog |
getModelVersionByAlias |
Пользователь получает версию модели Unity Catalog с использованием псевдонима. | - full_name_arg- alias_arg |
unityCatalog |
createConnection |
Создается новое внешнее подключение. | - name- connection_type- workspace_id- metastore_id |
unityCatalog |
deleteConnection |
Удаляется внешнее подключение. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getConnection |
Извлекается внешнее подключение. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateConnection |
Обновляется внешнее подключение. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listConnections |
Перечислены внешние connections в хранилище метаданных. | - workspace_id- metastore_id |
unityCatalog |
createFunction |
Пользователь создает новую функцию. | - function_info- workspace_id- metastore_id |
unityCatalog |
updateFunction |
Пользователь обновляет функцию. | - full_name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listFunctions |
Пользователь запрашивает list всех функций в пределах родительского catalog или определенного schema. | - catalog_name- schema_name- include_browse- workspace_id- metastore_id |
unityCatalog |
getFunction |
Пользователь запрашивает функцию от родительского catalog или schema. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
deleteFunction |
Пользователь запрашивает функцию от родительского catalog или schema. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos- metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos- metastore_id |
|
unityCatalog |
generateTemporaryServiceCredential |
Временные учетные данные создаются для доступа к учетной записи облачной службы из Databricks. | - credential_id- credential_type- credential_kind- workspace_id- metastore_id |
События разностного общего доступа
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Включите систему журнала аудита table для доступа к этим событиям.
События разностного общего доступа разделены на два раздела: события, записанные в учетной записи поставщика данных и события, записанные в учетной записи получателя данных.
События поставщика разностного доступа
Следующие события журнала аудита регистрируются в учетной записи поставщика. Действия, выполняемые recipients начинаются с префикса deltaSharing. Каждый из этих журналов также включает в себя request_params.metastore_idхранилище метаданных, которое управляет общими данными и userIdentity.emailявляется идентификатором пользователя, инициирующего действие.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Получатель данных запрашивает list для shares. |
-
options: параметры разбиения на страницы, передаваемые с этим запросом.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetShare |
Получатель данных запрашивает сведения о shares. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListSchemas |
Получатель данных запрашивает list общих схем. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- options: параметры разбиения на страницы, передаваемые с этим запросом.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllTables |
Получатель данных запрашивает list для всех общих tables. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListTables |
Получатель данных запрашивает list для совместного tables. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- options: параметры разбиения на страницы, передаваемые с этим запросом.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetTableMetadata |
Получатель данных запрашивает информацию о метаданных table. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- schema: название schema.- name: название table.- predicateHints: предикаты, содержащиеся в запросе.- limitHints: максимальное число возвращаемых строк.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetTableVersion |
Получатель данных запрашивает сведения о версии table. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- schema: название schema.- name: название table.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryTable |
Записывается в журнал, когда получатель данных запрашивает общий table. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- schema: название schema.- name: название table.- predicateHints: предикаты, содержащиеся в запросе.- limitHints: максимальное число возвращаемых строк.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryTableChanges |
Регистрируется, когда получатель данных запрашивает изменения данных для table. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- schema: название schema.- name: название table.- cdf_options: изменение параметров канала данных.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueriedTable |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным") |
-
recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueriedTableChanges |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным"). |
-
recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListNotebookFiles |
Получатель данных запрашивает list файлов из общей записной книжки. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryNotebookFile |
Получатель данных запрашивает общий файл записной книжки. |
-
file_name: имя файла записной книжки.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListFunctions |
Получатель данных запрашивает list функций в родительском schema. |
-
share: имя общего ресурса.- schema: имя родителя функции schema.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllFunctions |
Получатель данных запрашивает list всех разделяемых функций. |
-
share: имя общего ресурса.- schema: имя родителя функции schema.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListFunctionVersions |
Получатель данных запрашивает list версий функций. |
-
share: имя общего ресурса.- schema: имя родителя функции schema.- function: имя функции.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListVolumes |
Получатель данных запрашивает list общих volumes в schema. |
-
share: имя общего ресурса.- schema: родители schemavolumes.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllVolumes |
Получатель данных запрашивает все общие volumes. |
-
share: имя общего ресурса.- recipient_name: указывает получателю, выполняющего действие.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
updateMetastore |
Поставщик обновляет хранилище метаданных. |
-
delta_sharing_scope: Values можно INTERNAL или INTERNAL_AND_EXTERNAL.- delta_sharing_recipient_token_lifetime_in_seconds: при наличии указывает, что время существования маркера получателя было обновлено. |
unityCatalog |
createRecipient |
Поставщик создает получателя данных. |
-
name: имя получателя.- comment: комментарий к получателю.- ip_access_list.allowed_ip_addresses: Список разрешенных IP-адресов получателя. |
unityCatalog |
deleteRecipient |
Поставщик удаляет получателя данных. |
-
name: имя получателя. |
unityCatalog |
getRecipient |
Поставщик запрашивает сведения о получателе данных. |
-
name: имя получателя. |
unityCatalog |
listRecipients |
Поставщик запрашивает list всех своих данных recipients. | ничего |
unityCatalog |
rotateRecipientToken |
Поставщик поворачивает маркер получателя. |
-
name: имя получателя.- comment: комментарий, указанный в команде смены. |
unityCatalog |
updateRecipient |
Поставщик обновляет атрибуты получателя данных. |
-
name: имя получателя.- updates: представление JSON атрибутов получателя, которые были добавлены или удалены из общей папки. |
unityCatalog |
createShare |
Поставщик обновляет атрибуты получателя данных. |
-
name: имя общего ресурса.- comment: комментарий для общего ресурса. |
unityCatalog |
deleteShare |
Поставщик обновляет атрибуты получателя данных. |
-
name: имя общего ресурса. |
unityCatalog |
getShare |
Поставщик запрашивает сведения о общей папке. |
-
name: имя общего ресурса.- include_shared_objects: были ли имена table общего ресурса включены в запрос. |
unityCatalog |
updateShare |
Поставщик добавляет или удаляет ресурсы данных из общей папки. |
-
name: имя общего ресурса.- updates: представление JSON-ресурсов данных, которые были добавлены или удалены из общей папки. Каждый элемент включает action (добавление или remove), name (фактическое имя table), shared_as (имя, под которым ресурс был предоставлен, если оно отличается от фактического имени), и partition_specification (если была предоставлена спецификация partition). |
unityCatalog |
listShares |
Поставщик запрашивает listshares. | ничего |
unityCatalog |
getSharePermissions |
Поставщик запрашивает сведения о разрешениях общей папки. |
-
name: имя общего ресурса. |
unityCatalog |
updateSharePermissions |
Поставщик обновляет разрешения общей папки. |
-
name: имя общего ресурса.- changes: JSON-представление обновленных разрешений. Каждое изменение включает principal (пользователь или группа, которым предоставлено или отозвано разрешение), add (list предоставленных разрешений) и remove (list отмененных разрешений). |
unityCatalog |
getRecipientSharePermissions |
Поставщик запрашивает сведения о разрешениях общего доступа получателя. |
-
name: имя общего ресурса. |
unityCatalog |
getActivationUrlInfo |
Поставщик запрашивает сведения об активности по ссылке активации. |
-
recipient_name: имя получателя, открывшего URL-адрес активации.- is_ip_access_denied. Нет, если доступ к IP не настроен для list. В противном случае, true если запрос был отклонен и false если запрос не был отклонен.
sourceIPaddress — IP-адрес получателя. |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются для получателя для доступа к общему тому. |
-
share_name: имя общей папки, через которую запрашивает получатель.- share_id: идентификатор общей папки.- share_owner: владелец общей папки.- recipient_name: имя получателя, запрашивающего учетные данные.- recipient_id: идентификатор получателя.- volume_full_name: полное 3-уровнее имя тома.- volume_id: идентификатор тома.- volume_storage_location: путь к облаку корневого тома.- operation: READ_VOLUME или WRITE_VOLUME. Для общего доступа к томам поддерживается только READ_VOLUME .- credential_id: идентификатор учетных данных.- credential_type: тип учетных данных. Значение всегда StorageCredentialравно.- credential_kind: метод, используемый для авторизации доступа.- workspace_id. Значение всегда 0, если запрос предназначен для общего volumes. |
unityCatalog |
generateTemporaryTableCredential |
Временные учетные данные создаются для получателя, чтобы он мог получить доступ к общей table. |
-
share_name: имя общей папки, через которую запрашивает получатель.- share_id: идентификатор общей папки.- share_owner: владелец общей папки.- recipient_name: имя получателя, запрашивающего учетные данные.- recipient_id: идентификатор получателя.- table_full_name: полное 3-уровневое имя table.- table_id: идентификатор table.- table_url: облачный путь корня table.- operation: READ или READ_WRITE.- credential_id: идентификатор учетных данных.- credential_type: тип учетных данных. Значение всегда StorageCredentialравно.- credential_kind: метод, используемый для авторизации доступа.- workspace_id. Значение всегда 0, если запрос предназначен для общего tables. |
События получателя разностного общего доступа
Следующие события регистрируются в учетной записи получателя данных. Эти события записывают доступ получателей общих данных и ресурсов ИИ, а также события, связанные с управлением providers. Каждое из этих событий также включает следующий запрос parameters:
-
recipient_name: имя получателя в системе поставщика данных. -
metastore_id: имя хранилища метаданных в системе поставщика данных. -
sourceIPAddress: IP-адрес where, откуда пришёл запрос.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Получатель данных запрашивает сведения о общей table версии. |
-
share: имя общего ресурса.- schema: имя родительского tableschema.- name: название table. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Получатель данных запрашивает сведения о общих tableметаданных. |
-
share: имя общего ресурса.- schema: имя родительского tableschema.- name: название table. |
unityCatalog |
deltaSharingProxyQueryTable |
Получатель данных запрашивает общедоступный table. |
-
share: имя общего ресурса.- schema: имя родительского tableschema.- name: название table.- limitHints: максимальное число возвращаемых строк.- predicateHints: предикаты, содержащиеся в запросе.- version: Table версии, если включен канал данных изменений. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Получатель данных запрашивает измененные данные для table. |
-
share: имя общего ресурса.- schema: имя родительского tableschema.- name: название table.- cdf_options: изменение параметров канала данных. |
unityCatalog |
createProvider |
Получатель данных создает объект поставщика. |
-
name: имя поставщика.- comment: комментарий для поставщика. |
unityCatalog |
updateProvider |
Получатель данных обновляет объект поставщика. |
-
name: имя поставщика.- updates: представление JSON атрибутов поставщика, которые были добавлены или удалены из общей папки. Каждый элемент включает action (добавление или remove) и может включать name (имя нового поставщика), owner (новый владелец) и comment. |
unityCatalog |
deleteProvider |
Получатель данных удаляет объект поставщика. |
-
name: имя поставщика. |
unityCatalog |
getProvider |
Получатель данных запрашивает сведения о объекте поставщика. |
-
name: имя поставщика. |
unityCatalog |
listProviders |
Получатель данных запрашивает list для providers. | ничего |
unityCatalog |
activateProvider |
Получатель данных активирует объект поставщика. |
-
name: имя поставщика. |
unityCatalog |
listProviderShares |
Получатель данных запрашивает list у поставщика shares. |
-
name: имя поставщика. |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются для получателя для доступа к общему тому. |
-
share_name: имя общей папки, через которую запрашивает получатель.- volume_full_name: полное 3-уровнее имя тома.- volume_id: идентификатор тома.- operation: READ_VOLUME или WRITE_VOLUME. Для общего доступа к томам поддерживается только READ_VOLUME .- workspace_id: идентификатор рабочей области, получающей запрос пользователя. |
unityCatalog |
generateTemporaryTableCredential |
Временные учетные данные создаются для получателя, чтобы он мог получить доступ к общей table. |
-
share_name: имя общей папки, через которую запрашивает получатель.- table_full_name: полное 3-уровневое имя table.- table_id: идентификатор table.- operation: READ или READ_WRITE.- workspace_id: идентификатор рабочей области, получающей запрос пользователя. |
Дополнительные события мониторинга безопасности
Для вычислительных ресурсов Azure Databricks в классической плоскости вычислений, таких как виртуальные машины для кластеров и классических хранилищ SQL, следующие функции позволяют использовать дополнительные агенты мониторинга:
- Расширенный мониторинг безопасности
- Профиль безопасности соответствия. Профиль безопасности соответствия требуется для элементов управления соответствием для PCI-DSS.
События мониторинга целостности файлов
capsule8-alerts-dataplane Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Регулярное событие для подтверждения того, что монитор включен. В настоящее время выполняется каждые 10 минут. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
Память часто помечается исполняемым файлом, чтобы разрешить вредоносному коду выполняться при эксплойтации приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложным срабатываниям для определенных серверов приложений. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Отслеживает целостность важных системных файлов. Оповещения о любых несанкционированных изменениях этих файлов. Databricks определяет определенные наборы системных путей на изображении, и это set путей может измениться со временем. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещает каждый раз, когда модульный systemd файл изменяется программой, отличной от systemctlпрограммы. |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Повторяющиеся сбои программы могут указывать на то, что злоумышленник пытается воспользоваться уязвимостью повреждения памяти или возникла проблема стабильности в затронутом приложении. Оповещения при сбое более 5 экземпляров отдельной программы с помощью сбоя сегментации. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Как правило, контейнеры являются статическими рабочими нагрузками, это оповещение может указывать на то, что злоумышленник скомпрометировал контейнер и пытается установить и запустить внутренний процесс. Оповещения, когда файл, созданный или измененный в течение 30 минут, затем выполняется в контейнере. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
Память часто помечается исполняемым файлом, чтобы разрешить вредоносному коду выполняться при эксплойтации приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложным срабатываниям для определенных серверов приложений. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Интерактивные оболочки являются редкими вхождений в современной производственной инфраструктуре. Оповещения при запуске интерактивной оболочки с аргументами, часто используемыми для обратных оболочк. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Ведение журнала команд evading часто используется для злоумышленников, но может также указывать на то, что законный пользователь выполняет несанкционированные действия или пытается избежать политики. Оповещения при обнаружении ведения журнала команд пользователя, указывающие, что пользователь пытается избежать ведения журнала команд. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Обнаруживает некоторые типы внутренних кодов ядра. Загрузка новой программы фильтра пакетов Berkeley (BPF) может указывать на то, что злоумышленник загружает коркит на основе BPF, чтобы получить сохраняемость и избежать обнаружения. Оповещения при загрузке новой привилегированной программы BPF, если процесс, который уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Злоумышленники обычно загружают модули вредоносного ядра (rootkits), чтобы избежать обнаружения и поддержания сохраняемости на скомпрометированном узле. Оповещения при загрузке модуля ядра, если программа уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Злоумышленники могут создавать или переименовать вредоносные двоичные файлы, чтобы включить пространство в конце имени в попытке олицетворить законную системную программу или службу. Оповещает, когда программа выполняется с пробелом после имени программы. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Эксплойты повышения привилегий ядра обычно позволяют непривилегированного пользователя получать корневые привилегии без передачи стандартных шлюзов для изменений привилегий. Оповещения, когда программа пытается повысить привилегии с помощью необычных средств. Это может выдавать ложные положительные оповещения на узлах со значительными рабочими нагрузками. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Внутренние функции ядра недоступны для обычных программ, и при вызове являются сильным индикатором выполнения эксплойта ядра и что злоумышленник имеет полный контроль над узлом. Оповещения, когда функция ядра неожиданно возвращается в пользовательское пространство. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP и SMAP — это защита на уровне процессора, которая повышает трудности для успешного выполнения эксплойтов ядра, и отключение этих ограничений является общим шагом в эксплойтах ядра. Оповещения при изменении программы с конфигурацией SMEP/SMAP ядра. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Оповещения, когда программа использует функции ядра, часто используемые в эксплойтах escape-контейнеров, указывая, что злоумышленник создает привилегии от доступа к контейнерам к узлу. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Привилегированные контейнеры имеют прямой доступ к ресурсам узла, что приводит к большему влиянию при компрометации. Оповещения при запуске привилегированного контейнера, если контейнер не является известным привилегированным образом, например kube-proxy. Это может выдавать нежелательные оповещения для законных привилегированных контейнеров. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Многие контейнеры выполняют принудительное выполнение двоичного файла в контейнере, что приводит к тому, что злоумышленник получает полный контроль над затронутым узлом. Оповещения при выполнении файла, созданного контейнером, извне контейнера. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
Изменение определенных атрибутов AppArmor может происходить только в ядре, указывая, что AppArmor был отключен эксплойтом ядра или rootkit. Оповещения при изменении состояния AppArmor из конфигурации AppArmor, обнаруженной при запуске датчика. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Злоумышленники могут попытаться отключить принудительное применение профилей AppArmor в рамках обнаружения. Оповещения при выполнении команды для изменения профиля AppArmor, если она не была выполнена пользователем в сеансе SSH. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Если не выполнен доверенный источник (например, диспетчер пакетов или средство управления конфигурацией), изменение загрузочных файлов может указать злоумышленнику, изменяющему ядро или его параметры, чтобы получить постоянный доступ к узлу. Оповещения при внесении изменений в файлы, /bootуказывающие на установку нового ядра или конфигурации загрузки. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
Удаление журналов, не выполняемое средством управления журналами, может указывать на то, что злоумышленник пытается скрыть remove индикаторы компрометации. Оповещения об удалении файлов системного журнала. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
Только что созданные файлы из ненадежных источников, помимо не системных программ update, могут быть закладками, эксплойтами ядра или частью цепочки атак. Оповещения поступают при запуске файла, который был создан или изменён в течение 30 минут, за исключением файлов, созданных системными программами update. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
Изменение корневого хранилища сертификатов может указывать на установку изгоев центра сертификации, что позволяет перехватывать сетевой трафик или обход проверки подписи кода. Оповещения при изменении хранилища сертификатов ЦС системы. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Биты параметров setuid/setgid можно использовать для предоставления постоянного метода для эскалации привилегий на узле. Оповещения, когда биты setuid или setgidset на файле с семейством системных вызовов chmod. |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Злоумышленники часто создают скрытые файлы в качестве средства скрытия средств и полезных данных на скомпрометированном узле. Оповещения при создании скрытого файла процессом, связанным с текущим инцидентом. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Злоумышленники могут изменять системные служебные программы для выполнения вредоносных полезных данных при каждом запуске этих служебных программ. Оповещения при изменении несанкционированного процесса общей служебной программы системы. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Злоумышленник или злоумышленник может использовать или установить эти программы для опроса подключенных сетей для компрометации дополнительных узлов. Оповещения при выполнении общих средств программы сканирования сети. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Злоумышленники могут запустить новую сетевую службу, чтобы обеспечить простой доступ к узлу после компрометации. Оповещения при запуске программы новой сетевой службы, если программа уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Злоумышленник или недобросовестный пользователь может выполнять команды сетевого перехвата для записи credentials, личной информации (PII) или другой конфиденциальной информации. Оповещения при выполнении программы, которая позволяет записывать сеть. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
Использование средств передачи файлов может указывать на то, что злоумышленник пытается переместить наборы инструментов на дополнительные узлы или эксфильтровать данные в удаленную систему. Оповещения при выполнении программы, связанной с удаленным копированием файлов, если программа уже входит в текущий инцидент. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Каналы команд и управление и криптокоманы часто создают новые исходящие сетевые connections на необычных портах. Оповещения, когда программа инициирует новое подключение на редком порту, если программа уже входит в текущий инцидент. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
После получения доступа к системе злоумышленник может создать сжатый архив файлов, чтобы уменьшить размер данных для кражи. Оповещения при выполнении программы сжатия данных, если программа уже входит в текущий инцидент. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
Использование методов внедрения процессов обычно указывает, что пользователь отлаживать программу, но может также указывать на то, что злоумышленник считывает секреты из других процессов или внедряет код в другие процессы. Оповещения, когда программа использует ptrace механизмы (отладка) для взаимодействия с другим процессом. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Злоумышленники часто используют программы перечисления учетных записей, чтобы определить уровень доступа и узнать, вошли ли другие пользователи в узел. Оповещения при выполнении программы, связанной с перечислением учетных записей, если программа уже входит в текущий инцидент. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Обзор файловых систем является обычным поведением злоумышленника после проникновения, который ищет credentials и интересующие его данные. Оповещения при выполнении программы, связанной с перечислением файлов и каталогов, если программа уже входит в текущий инцидент. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Злоумышленники могут просить локальную сеть и маршрутизировать сведения о выявлении смежных узлов и сетей перед боковой перемещением. Оповещения при выполнении программы, связанной с перечислением конфигурации сети, если программа уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Злоумышленники часто list запускают программы, чтобы определить назначение узла и есть ли установленные средства безопасности или мониторинга. Оповещения при выполнении программы, связанной с перечислением процессов, если программа уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Злоумышленники обычно выполняют команды перечисления системы для определения версий и компонентов ядра Linux и компонентов, часто чтобы определить, влияет ли узел на определенные уязвимости. Оповещения при выполнении программы, связанной с перечислением системных сведений, если программа уже является частью текущего инцидента. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
Изменение запланированных задач — это распространенный метод для установления сохраняемости на скомпрометированном узле. Оповещения, когда crontabatкоманды или batch команды используются для изменения конфигураций запланированных задач. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещения, когда systemctl команда используется для изменения системных единиц. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
Явная эскалация для корневого пользователя уменьшает возможность корреляции привилегированных действий с конкретным пользователем. Оповещения при su выполнении команды. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Оповещения при sudo выполнении команды. |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
Удаление файла журнала является необычным, часто выполняемым злоумышленниками действием скрытия или законными пользователями, намеревающимися избежать элементов управления аудитом. Оповещения при удалении файлов журнала командной строки. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Злоумышленник может добавить нового пользователя на узел, чтобы предоставить надежный метод доступа. Оповещает, если новая сущность пользователя добавляется в файл управления локальными учетными записями /etc/passwd, если сущность не добавляется программой системы update. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Злоумышленники могут напрямую изменять файлы, связанные с удостоверениями, чтобы добавить нового пользователя в систему. Оповещения при изменении файла, связанного с паролями пользователей, программой, не связанной с обновлением существующих сведений о пользователе. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Добавление нового открытого ключа SSH — это распространенный метод для получения постоянного доступа к скомпрометированному узлу. Оповещения при попытке записи в SSH-файл authorized_keys пользователя, если программа уже входит в текущий инцидент. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
Добавление нового пользователя — это распространенный шаг для злоумышленников при установке сохраняемости на скомпрометированном узле. Оповещения, когда программа управления удостоверениями выполняется программой, отличной от диспетчера пакетов. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
Удаление файла журнала является необычным, часто выполняемым злоумышленниками действием скрытия или законными пользователями, намеревающимися избежать элементов управления аудитом. Оповещения при удалении файлов журнала командной строки. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Файлы профилей пользователей и конфигурации часто изменяются как метод сохраняемости, чтобы выполнять программу всякий раз, когда пользователь входит в систему. Оповещения при изменении .bash_profile и bashrc (а также связанных файлов) программой, отличной от системного средства update. |
- instanceId |
События мониторинга антивирусной программы
Примечание.
Объект response JSON в этих журналах аудита всегда имеет result поле, включающее одну строку исходного результата сканирования. Каждый результат сканирования обычно представлен несколькими записями журнала аудита, по одной для каждой строки исходного вывода сканирования. Дополнительные сведения о том, что может появиться в этом файле, см. в следующей сторонней документации.
clamAVScanService-dataplane Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Запрос parameters |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Антивирусная программа мониторинга выполняет проверку. По каждой строке исходного вывода сканирования будет создана запись журнала generate. | - instanceId |
Устаревшие события журнала
Databricks не рекомендуется использовать следующие databrickssql диагностические события:
-
createAlertDestination(сейчасcreateNotificationDestination) -
deleteAlertDestination(сейчасdeleteNotificationDestination) -
updateAlertDestination(сейчасupdateNotificationDestination) muteAlertunmuteAlert
Журналы конечных точек SQL
Если вы создаете хранилища SQL с помощью устаревшего API конечной точки SQL (прежнее имя для хранилищ SQL), соответствующее имя события аудита будет содержать слово Endpoint вместо Warehouseэтого. Кроме имени, эти события идентичны событиям хранилища SQL. Чтобы просмотреть описания и запросить parameters для этих событий, см. соответствующие события хранилища в событиях Databricks SQL.
События конечной точки SQL:
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig