Ссылка на диагностический журнал
Примечание.
Для этой функции требуется план "Премиум".
В этой статье содержится исчерпывающая справка по службам журналов аудита и событиям. Доступность этих служб зависит от того, как вы обращаетесь к журналам:
- Таблица системы журнала аудита записывает все события и службы, перечисленные в этой статье.
- Служба параметров диагностики Azure Monitor не регистрирует все эти службы. Службы, недоступные в параметрах диагностики Azure, помечены соответствующим образом.
Примечание.
Azure Databricks сохраняет копию журналов аудита до 1 года для целей анализа безопасности и мошенничества.
Службы журналов диагностики
Следующие службы и их события регистрируются по умолчанию в журналах диагностики.
Примечание.
Обозначения уровня рабочей области и учетных записей применяются только к системной таблице журналов аудита. Журналы диагностики Azure не включают события уровня учетной записи.
Службы уровня рабочей области
| Название службы | Описание |
|---|---|
| Счета | События, связанные с учетными записями, пользователями, группами и списками доступа к IP-адресам. |
| aibiGenie | События, связанные с пространствами AI/BI Genie. |
| Кластеры | События, связанные с кластерами. |
| clusterPolicies | События, связанные с политиками кластера. |
| Панели мониторинга | События, связанные с использованием панели мониторинга AI/BI. |
| databrickssql | События, связанные с использованием Databricks SQL. |
| dataMonitoring | События, связанные с мониторингом Лейкхауса. |
| dbfs | События, связанные с DBFS. |
| deltaPipelines | События, связанные с DLT-конвейерами . |
| хранилище функций | События, связанные с хранилищем функций Databricks. |
| filesystem | События, связанные с управлением файлами, которые включают взаимодействие с файлами с помощью API файлов или пользовательского интерфейса томов. |
| джинн | События, связанные с доступом к рабочей области сотрудниками службы поддержки. Пространства AI/BI Genie, не связанные между собой. |
| gitCredentials | События, касающиеся учетных данных Git для папок Git в Databricks . См. также repos. |
| globalInitScripts | События, связанные с глобальными скриптами инициализации. |
| Группы | События, связанные с группами аккаунтов и рабочих пространств. |
| iamRole | События, касающиеся разрешений для ролей IAM. |
| проглатывание | События, связанные с отправкой файлов. |
| instancePools | События, связанные с пулами. |
| работы | События, связанные с работой. |
| отслеживание происхождения | События, связанные с происхождением данных . |
| MarketplaceConsumer | События, связанные с действиями потребителей в Databricks Marketplace. |
| MarketplaceProvider | События, связанные с действиями поставщика в Databricks Marketplace. |
| mlflowAcledArtifact | События, связанные с артефактами MLflow с ACL. |
| mlflowExperiment | События, связанные с экспериментами ML Flow. |
| ModelRegistry | События, связанные с реестром моделей. |
| записная книжка | События, связанные с записными книжками. |
| partnerConnect | События, связанные с Partner Connect. |
| прогнозная оптимизация | События, связанные с прогнозной оптимизацией. |
| RemoteHistoryService | События, связанные с добавлением и удалением учетных данных GitHub. |
| репозитории | События, связанные с папками Git в Databricks. См. также gitCredentials. |
| Секреты | События, связанные с секретами. |
| бессерверная инференция в реальном времени | События, связанные с обслуживанием модели. |
| sqlPermissions | События, связанные с устаревшим контролем доступа к таблицам хранилища метаданных Hive. |
| ssh | События, связанные с доступом SSH. |
| vectorSearch | События, связанные с векторным поиском. |
| webTerminal | События, связанные с функцией веб-терминала . |
| рабочая область | События, связанные с рабочими пространствами. |
Службы уровня учетной записи
Журналы аудита на уровне учетной записи доступны для этих служб:
| Название службы | Описание |
|---|---|
| управление доступом к учетным записям | Действия, касающиеся API управления доступом к учетной записи . |
| accountBillableUsage | Действия, связанные с доступом к оплачиваемому использованию в консоли учетной записи. |
| accountsManager | Действия, связанные с конфигурациями сетевого подключения. |
| budgetPolicyCentral | Действия, связанные с управлением политиками бюджета. |
| чистая комната | Действия, связанные с чистыми помещениями . |
| unityCatalog | Действия, выполняемые в каталоге Unity. Это также включает события Delta Sharing, см. Delta Sharing events. |
Дополнительные службы мониторинга безопасности
Существуют дополнительные службы и связанные действия для рабочих областей, которые используют профиль безопасности соответствия требованиям (требуется для некоторых стандартов соответствия, таких как HIPAA) или расширенный мониторинг безопасности.
Это службы уровня рабочей области, которые будут фиксироваться в ваших журналах только в случае использования профиля соответствия безопасности или расширенного мониторинга безопасности.
| Название службы | Описание |
|---|---|
| capsule8-alerts-dataplane | Действия, связанные с мониторингом целостности файлов. |
| clamAVScanService-dataplane | Действия, связанные с антивирусным мониторингом. |
Пример схемы журнала диагностики
В Azure Databricks журналы диагностики выводируют события в формате JSON. В Azure Databricks журналы аудита выводируют события в формате JSON. Свойства serviceName и actionName идентифицируют событие. Соглашение об именовании следует примеру REST API Databricks.
Следующий пример JSON является примером события, зарегистрированного при создании задания пользователем:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Рекомендации по схеме журнала диагностики
- Если выполнение действий занимает много времени, запрос и ответ записываются отдельно, но пара запросов и ответов имеет ту же самую
requestId. - Автоматические действия, такие как изменение размера кластера из-за автомасштабирования или запуска задания из-за планирования, выполняются пользователем
System-User. - Поле
requestParamsподлежит усечению. Если размер представления JSON превышает 100 КБ, значения усечены, а строка... truncatedдобавляется к усеченным записям. В редких случаях, когда усеченная карта по-прежнему превышает 100 КБ, вместо этого присутствует одинTRUNCATEDключ с пустым значением.
События учетной записи
Ниже перечислены accounts события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
accounts |
accountLoginCodeAuthentication |
Код входа в учетную запись пользователя проходит проверку подлинности. |
|
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в рабочей области". |
|
accounts |
aadBrowserLogin |
Пользователь входит в Databricks посредством процесса аутентификации Microsoft Entra ID в браузере. |
|
accounts |
aadTokenLogin |
Пользователь входит в Databricks с помощью токена Microsoft Entra ID. |
|
accounts |
add |
Пользователь добавляется в рабочую область Azure Databricks. |
|
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня рабочей области. |
|
accounts |
changeDatabricksSqlAcl |
Права доступа пользователя к Databricks SQL изменены. |
|
accounts |
changeDatabricksWorkspaceAcl |
Разрешения для рабочей области изменяются. |
|
accounts |
changeDbTokenAcl |
Разрешения на токен доступа изменены. |
|
accounts |
changeDbTokenState |
Токен доступа Databricks отключен. |
|
accounts |
changeServicePrincipalAcls |
При изменении разрешений субъекта-службы. |
|
accounts |
createGroup |
Создается группа уровня рабочей области. |
|
accounts |
createIpAccessList |
В рабочее пространство добавляется список доступа к IP-адресам. |
|
accounts |
deactivateUser |
Пользователь деактивирован в рабочей области. См. раздел "Отключить пользователей в рабочей области". |
|
accounts |
delete |
Пользователь удаляется из рабочей области Azure Databricks. |
|
accounts |
deleteIpAccessList |
Список доступа к IP-адресам удаляется из рабочей области. |
|
accounts |
garbageCollectDbToken |
Пользователь запускает команду сборки мусора для токенов с истекшим сроком действия. |
|
accounts |
generateDbToken |
Когда пользователь создает маркер из параметров пользователя или когда служба создает маркер. |
|
accounts |
IpAccessDenied |
Пользователь пытается подключиться к службе через запрещенный IP-адрес. |
|
accounts |
ipAccessListQuotaExceeded |
|
|
accounts |
jwtLogin |
Пользователь входит в Databricks с помощью JWT. |
|
accounts |
login |
Пользователь входит в рабочую область. |
|
accounts |
logout |
Пользователь выходит из рабочей области. |
|
accounts |
oidcTokenAuthorization |
Когда вызов API авторизован через универсальный токен OIDC/OAuth. |
|
accounts |
passwordVerifyAuthentication |
|
|
accounts |
reachMaxQuotaDbToken |
Если текущее число неистекших токенов превышает квоту токенов | |
accounts |
removeAdmin |
У пользователя отозваны разрешения администратора рабочей области. |
|
accounts |
removeGroup |
Группа удаляется из рабочей области. |
|
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы. |
|
accounts |
revokeDbToken |
Токен пользователя удаляется из рабочей области. Может быть активирован пользователем, удаленным из учетной записи Databricks. |
|
accounts |
setAdmin |
Пользователю предоставляются разрешения администратора учетной записи. |
|
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью токена. |
|
accounts |
updateIpAccessList |
Список доступа к IP-адресам изменен. |
|
accounts |
updateUser |
Изменение выполняется в учетной записи пользователя. |
|
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. |
|
accounts |
workspaceLoginCodeAuthentication |
Код входа, связанный с рабочей областью пользователя, проходит проверку подлинности. |
|
события панели мониторинга AI/BI
Ниже перечислены dashboards события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
dashboards |
getDashboard |
Пользователь обращается к черновику панели мониторинга, просматривая ее в пользовательском интерфейсе или запрашивая определение панели мониторинга с помощью API. Доступ к черновику панели мониторинга может получить только пользователи рабочей области. |
|
dashboards |
getPublishedDashboard |
Пользователь обращается к опубликованной версии панели мониторинга, просматривая в пользовательском интерфейсе или запрашивая определение панели мониторинга с помощью API. Включает действия как пользователей рабочей области, так и пользователей учетной записи. Исключает получение PDF-снимка панели мониторинга с помощью запланированного сообщения электронной почты. |
|
dashboards |
executeQuery |
Пользователь выполняет запрос с панели мониторинга. |
|
dashboards |
cancelQuery |
Пользователь отменяет запрос с панели мониторинга. |
|
dashboards |
getQueryResult |
Пользователь получает результаты запроса с панели мониторинга. |
|
dashboards |
sendDashboardSnapshot |
Моментальный снимок PDF панели мониторинга отправляется по запланированному сообщению электронной почты. Значения параметров запроса зависят от типа получателя. Для пункта назначения уведомлений Databricks отображается только destination_id. Для пользователя Databricks отображаются идентификатор пользователя и адрес электронной почты подписчика. Если получатель является адресом электронной почты, отображается только адрес электронной почты. |
user_id,email_address } |
dashboards |
getDashboardDetails |
Пользователь обращается к сведениям о черновике панели мониторинга, например наборах данных и мини-приложениях.
getDashboardDetails всегда создается, когда пользователь просматривает черновик панели мониторинга с помощью пользовательского интерфейса или запрашивает определение панели мониторинга с помощью API. |
|
dashboards |
createDashboard |
Пользователь создает новую панель мониторинга AI/BI с помощью пользовательского интерфейса или API. |
|
dashboards |
updateDashboard |
Пользователь обновляет панель мониторинга AI/BI с помощью пользовательского интерфейса или API. |
|
dashboards |
cloneDashboard |
Пользователь клонирует панель мониторинга ИИ/BI. |
|
dashboards |
publishDashboard |
Пользователь публикует панель мониторинга AI/BI с внедренными учетными данными или без нее с помощью пользовательского интерфейса или API. |
|
dashboards |
unpublishDashboard |
Пользователь отменяет публикацию опубликованной панели мониторинга AI/BI с помощью пользовательского интерфейса или API. |
|
dashboards |
trashDashboard |
Пользователь перемещает панель мониторинга в корзину с помощью команд API Lakeview или пользовательского интерфейса панели мониторинга. Это событие регистрируется только при выполнении через эти каналы и не применяется к действиям в рабочей области. Чтобы провести аудит действий в рабочей области, см. события рабочей области. |
|
dashboards |
restoreDashboard |
Пользователь восстанавливает панель мониторинга ИИ/BI из корзины, используя UI панели мониторинга или команды API Lakeview. Это событие регистрируется только при выполнении через эти каналы, не относится к действиям в рабочей области. Чтобы провести аудит действий в рабочей области, см. события рабочей области. |
|
dashboards |
migrateDashboard |
Пользователь переносит панель мониторинга DBSQL на панель мониторинга AI/BI. |
|
dashboards |
createSchedule |
Пользователь создает расписание подписки электронной почты. |
|
dashboards |
updateSchedule |
Пользователь вносит обновление в расписание панели мониторинга ИИ/BI. |
|
dashboards |
deleteSchedule |
Пользователь удаляет расписание панели мониторинга ИИ/BI. |
|
dashboards |
createSubscription |
Пользователь подписывает электронную почту для получения обновлений по расписанию панели мониторинга AI/BI. |
|
dashboards |
deleteSubscription |
Пользователь удаляет адрес электронной почты из расписания на панели ИИ/БИ. |
|
события AI/BI Genie
Ниже перечислены aibiGenie события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
aibiGenie |
createSpace |
Пользователь создает новое пространство Genie.
space_id этого нового пространства регистрируется в столбце response. |
|
aibiGenie |
getSpace |
Пользователь получает доступ к пространству Genie. |
|
aibiGenie |
updateSpace |
Пользователь обновляет параметры пространства Genie. Возможные параметры включают название, описание, хранилище, таблицы и примеры вопросов. |
|
aibiGenie |
trashSpace |
Пространство Genie перемещается в корзину. |
|
aibiGenie |
cloneSpace |
Пользователь клонирует рабочее пространство Genie. |
|
aibiGenie |
createConversation |
Пользователь создает новый поток беседы в пространстве Genie. |
|
aibiGenie |
listConversations |
Пользователь открывает список бесед в пространстве Genie. |
|
aibiGenie |
getConversation |
Пользователь открывает тему обсуждения в пространстве Genie. |
|
aibiGenie |
updateConversation |
Пользователь обновляет название потока беседы. |
|
aibiGenie |
deleteConversation |
Пользователь удаляет ветку беседы в пространстве Genie. |
|
aibiGenie |
listGenieSpaceMessages |
Пользователь с разрешениями CAN MANAGE обращается к журналу пространства Genie, который включает сообщения, отправленные всеми пользователями. |
|
aibiGenie |
listGenieSpaceUserMessages |
Пользователь с разрешениями "CAN VIEW" получает доступ к истории пространства Genie и просматривает свои ранее отправленные сообщения. |
|
aibiGenie |
executeFullQueryResult |
Пользователь получает полные результаты запроса (до 1 ГБ в размере). |
|
aibiGenie |
getMessageQueryResult |
Genie извлекает результаты запроса, относящиеся к сообщению разговора. |
|
aibiGenie |
updateMessageAttachment |
Пользователь обновляет и повторно запускает запрос в сообщении. |
|
aibiGenie |
createConversationMessage |
Пользователь отправляет новое сообщение в пространство Genie. |
|
aibiGenie |
getConversationMessage |
Пользователь получает доступ к сообщению в пространстве Genie. |
|
aibiGenie |
deleteConversationMessage |
Пользователь удаляет существующее сообщение. |
|
aibiGenie |
regenerateConversationMessage |
Пользователь повторно создает ответ Genie на существующее сообщение. |
|
aibiGenie |
updateConversationMessage |
Пользователь обновляет атрибут сообщения в пространстве Genie. Например, они могут запросить проверку или изменить SQL в ответе. |
|
aibiGenie |
updateConversationMessageFeedback |
Пользователь изменяет оценку «лайк» или «дизлайк» для ответа на Genies. |
|
aibiGenie |
executeMessageQuery |
Genie выполняет созданный SQL для возврата результатов запроса, включая действия обновления данных. |
|
aibiGenie |
cancelMessage |
Пользователь отменяет сообщение до завершения ответа Genie. |
|
aibiGenie |
createInstruction |
Пользователь создает инструкцию для пространства «Genie». |
|
aibiGenie |
listInstructions |
Пользователь переходит на вкладку "Инструкции" или вкладку "Данные". |
|
aibiGenie |
updateInstruction |
Пользователь вносит изменения в инструкцию для рабочего пространства Genie. |
|
aibiGenie |
deleteInstruction |
Пользователь удаляет инструкцию для пространства «Джини». |
|
aibiGenie |
updateSampleQuestions |
Пользователь обновляет типичные примеры вопросов для пространства. |
|
aibiGenie |
createCuratedQuestion |
Пользователь создает пример вопроса или вопрос теста. |
|
aibiGenie |
deleteCuratedQuestion |
Пользователь удаляет пример вопроса или вопрос теста. |
|
aibiGenie |
listCuratedQuestions |
Пользователь обращается к списку примерных вопросов или эталонных вопросов в разделе. Это регистрируется всякий раз, когда пользователи открывают новый чат, просматривают тесты или добавляют примеры вопросов. |
|
aibiGenie |
updateCuratedQuestion |
Пользователь обновляет пример вопроса или вопрос теста. |
|
aibiGenie |
createEvaluationResult |
Genie создает результат оценки для конкретного вопроса в ходе выполнения оценки. |
|
aibiGenie |
getEvaluationResult |
Пользователь обращается к результатам конкретного вопроса в ходе оценки. |
|
aibiGenie |
getEvaluationResultDetails |
Пользователь получает доступ к результатам запроса для конкретного вопроса в рамках оценки. |
|
aibiGenie |
updateEvaluationResult |
Пользователь обновляет результат оценки для конкретного вопроса. |
|
aibiGenie |
createEvaluationRun |
Пользователь создает новый запуск оценки. |
|
aibiGenie |
listEvaluationResults |
Пользователь получает доступ к списку результатов запущенной оценки. |
|
aibiGenie |
listEvaluationRuns |
Пользователь обращается к списку всех процессов оценки. |
|
aibiGenie |
createConversationMessageComment |
Пользователь добавляет комментарий обратной связи в сообщение беседы. |
|
aibiGenie |
listConversationMessageComments |
Пользователь получает доступ к списку комментариев из раздела. |
|
aibiGenie |
deleteConversationMessageComment |
Пользователь удаляет комментарий обратной связи, добавленный в сообщение беседы. |
|
События кластеров
Ниже перечислены cluster события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
clusters |
changeClusterAcl |
Пользователь изменил права доступа кластера. |
|
clusters |
create |
Пользователь создает кластер. |
|
clusters |
createResult |
Результаты создания кластера. В сочетании с create. |
|
clusters |
delete |
Кластер завершается. |
|
clusters |
deleteResult |
Результаты завершения кластера. В сочетании с delete. |
|
clusters |
edit |
Пользователь вносит изменения в параметры кластера. В этом журнале регистрируются все изменения, кроме изменений в размере кластера или поведении автомасштабирования. |
|
clusters |
permanentDelete |
Кластер удаляется из пользовательского интерфейса. |
|
clusters |
resize |
Изменение размера кластера. Он регистрируется в запущенных кластерах, где единственным свойством, которое изменяется, является размер кластера или поведение автомасштабирования. |
|
clusters |
resizeResult |
Результаты изменения размера кластера. В сочетании с resize. |
|
clusters |
restart |
Пользователь перезапускает запущенный кластер. |
|
clusters |
restartResult |
Результаты перезапуска кластера. В сочетании с restart. |
|
clusters |
start |
Пользователь запускает кластер. |
|
clusters |
startResult |
Результаты старта кластера. В сочетании с start. |
|
События библиотек кластера
Ниже перечислены clusterLibraries события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
clusterLibraries |
installLibraries |
Пользователь устанавливает библиотеку в кластере. |
|
clusterLibraries |
uninstallLibraries |
Пользователь удаляет библиотеку в кластере. |
|
clusterLibraries |
installLibraryOnAllClusters |
Администратор рабочей области планирует установку библиотеки во всех кластерах. |
|
clusterLibraries |
uninstallLibraryOnAllClusters |
Администратор рабочей области удаляет библиотеку из списка для установки во всех кластерах. |
|
События политики кластера
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
Ниже перечислены clusterPolicies события, зарегистрированные на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
clusterPolicies |
create |
Пользователь создал политику кластера. |
|
clusterPolicies |
edit |
Пользователь редактировал политику кластера. |
|
clusterPolicies |
delete |
Пользователь удалил политику кластера. |
|
clusterPolicies |
changeClusterPolicyAcl |
Администратор рабочей области изменяет разрешения для политики кластера. |
|
События Databricks SQL
Ниже перечислены databrickssql события, зарегистрированные на уровне рабочей области.
Примечание.
Если вы управляете хранилищами SQL с помощью устаревшего API конечных точек SQL, события аудита хранилища SQL будут иметь разные имена действий. Смотрите журналы конечных точек SQL.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Мини-приложение добавляется на панель мониторинга. |
|
databrickssql |
cancelQueryExecution |
Выполнение запроса отменено из пользовательского интерфейса редактора SQL. Это не включает отмены, исходящие из интерфейса истории запросов или API выполнения SQL от Databricks. |
|
databrickssql |
changeEndpointAcls |
Диспетчер хранилища обновляет разрешения на хранилище SQL. |
|
databrickssql |
changePermissions |
Пользователь обновляет разрешения для объекта. |
|
databrickssql |
cloneDashboard |
Пользователь клонирует панель мониторинга. |
|
databrickssql |
commandSubmit |
Только в подробных журналах аудита. Создается при отправке команды в хранилище SQL независимо от происхождения запроса. |
|
databrickssql |
commandFinish |
Только в подробных журналах аудита. Создается при завершении или отмене команды в хранилище SQL независимо от источника запроса на отмену. |
|
databrickssql |
createAlert |
Пользователь создает оповещение. |
|
databrickssql |
createNotificationDestination |
Администратор рабочей области создает место назначения уведомлений. |
|
databrickssql |
createDashboard |
Пользователь создает панель мониторинга. |
|
databrickssql |
createDataPreviewDashboard |
Пользователь создает панель мониторинга предварительного просмотра данных. |
|
databrickssql |
createWarehouse |
Пользователь с правами создания кластера создает хранилище SQL. |
|
databrickssql |
createQuery |
Пользователь создает новый запрос. |
|
databrickssql |
createQueryDraft |
Пользователь создает черновик запроса. |
|
databrickssql |
createQuerySnippet |
Пользователь создает фрагмент запроса. |
|
databrickssql |
createSampleDashboard |
Пользователь создает пример панели мониторинга. |
|
databrickssql |
createVisualization |
Пользователь создает визуализацию с помощью редактора SQL. Исключает таблицы результатов и визуализации по умолчанию в записных книжках, использующих хранилища SQL. |
|
databrickssql |
deleteAlert |
Пользователь удаляет оповещение из интерфейса генерации оповещений или через API. Исключает удаление из пользовательского интерфейса браузера файлов. |
|
databrickssql |
deleteNotificationDestination |
Администратор рабочей области удаляет адрес назначения уведомлений. |
|
databrickssql |
deleteDashboard |
Пользователь удаляет панель мониторинга из интерфейса панели мониторинга или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. |
|
databrickssql |
deleteDashboardWidget |
Пользователь удаляет мини-приложение панели мониторинга. |
|
databrickssql |
deleteWarehouse |
Диспетчер склада удаляет хранилище SQL. |
|
databrickssql |
deleteQuery |
Пользователь удаляет запрос из интерфейса запроса или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. |
|
databrickssql |
deleteQueryDraft |
Пользователь удаляет черновик запроса. |
|
databrickssql |
deleteQuerySnippet |
Пользователь удаляет фрагмент запроса. |
|
databrickssql |
deleteVisualization |
Пользователь удаляет визуализацию из запроса в редакторе SQL. |
|
databrickssql |
downloadQueryResult |
Пользователь загружает результат запроса из редактора SQL. Исключает скачивание с панелей мониторинга. |
|
databrickssql |
editWarehouse |
Диспетчер склада вносит изменения в хранилище SQL. |
|
databrickssql |
executeAdhocQuery |
Создается одним из следующих элементов:
|
|
databrickssql |
executeSavedQuery |
Пользователь запускает сохраненный запрос. |
|
databrickssql |
executeWidgetQuery |
Порождается любым событием, выполняющим запрос и обновляющим панель мониторинга. Ниже приведены некоторые примеры применимых событий:
|
|
databrickssql |
favoriteDashboard |
Пользователь любит панель мониторинга. |
|
databrickssql |
favoriteQuery |
Пользователь добавляет запрос в избранное. |
|
databrickssql |
forkQuery |
Пользователь клонирует запрос. |
|
databrickssql |
listQueries |
Пользователь открывает страницу списка запросов или вызывает API списка запросов. |
|
databrickssql |
moveAlertToTrash |
Пользователь перемещает оповещение в корзину. |
|
databrickssql |
moveDashboardToTrash |
Пользователь перемещает панель мониторинга в корзину. |
|
databrickssql |
moveQueryToTrash |
Пользователь перемещает запрос в корзину. |
|
databrickssql |
restoreAlert |
Пользователь восстанавливает оповещение из корзины. |
|
databrickssql |
restoreDashboard |
Пользователь восстанавливает панель мониторинга из корзины. |
|
databrickssql |
restoreQuery |
Пользователь восстанавливает запрос из корзины. |
|
databrickssql |
setWarehouseConfig |
Диспетчер склада задает конфигурацию для хранилища SQL. |
|
databrickssql |
snapshotDashboard |
Пользователь запрашивает моментальный снимок панели мониторинга. Включает запланированные снимки приборной панели. |
|
databrickssql |
startWarehouse |
Запущено хранилище SQL. |
|
databrickssql |
stopWarehouse |
Менеджер склада выключает хранилище SQL. Исключает автоматически остановленные склады. |
|
databrickssql |
transferObjectOwnership |
Администратор рабочей области передает права собственности на панель мониторинга, запрос или оповещение активному пользователю через API передачи прав собственности на объекты. Передача владения через пользовательский интерфейс или API обновления не фиксируется этим событием журнала аудита. |
|
databrickssql |
unfavoriteDashboard |
Пользователь удаляет панель мониторинга из избранного. |
|
databrickssql |
unfavoriteQuery |
Пользователь удаляет запрос из избранного. |
|
databrickssql |
updateAlert |
Пользователь обновляет оповещение.
ownerUserName заполняется, если владение оповещением передается с помощью API. |
|
databrickssql |
updateNotificationDestination |
Администратор рабочей области обновляет назначение уведомления. |
|
databrickssql |
updateDashboardWidget |
Пользователь обновляет мини-приложение панели мониторинга. Исключает изменения масштабирования осей. Примеры применимых обновлений:
|
|
databrickssql |
updateDashboard |
Пользователь вносит обновление в свойство панели мониторинга. Исключает изменения расписаний и подписок. Примеры применимых обновлений:
|
|
databrickssql |
updateOrganizationSetting |
Администратор рабочей области обновляет параметры SQL рабочей области. |
|
databrickssql |
updateQuery |
Пользователь вносит обновление в запрос.
ownerUserName заполняется, если владение запросом передается с помощью API. |
|
databrickssql |
updateQueryDraft |
Пользователь вносит обновление в черновик запроса. |
|
databrickssql |
updateQuerySnippet |
Пользователь выполняет обновление фрагмента запроса. |
|
databrickssql |
updateVisualization |
Пользователь обновляет визуализацию из редактора SQL или панели мониторинга. |
|
События мониторинга данных
dataMonitoring Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
dataMonitoring |
CreateMonitor |
Пользователь создает монитор. |
|
dataMonitoring |
UpdateMonitor |
Пользователь выполняет обновление монитора. |
|
dataMonitoring |
DeleteMonitor |
Пользователь удаляет монитор. |
|
dataMonitoring |
RunRefresh |
Монитор обновляется по расписанию или вручную. |
|
События DBFS
В следующих таблицах содержатся dbfs события, зарегистрированные на уровне рабочей области.
Существует два типа событий DBFS: вызовы API и операционные события.
События API DBFS
Следующие события аудита DBFS регистрируются только при записи с помощью REST API DBFS.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
dbfs |
addBlock |
Пользователь добавляет блок данных в поток. Это используется в сочетании с dbfs/create для потоковой передачи данных в DBFS. |
|
dbfs |
create |
Пользователь открывает поток для записи файла в DBFs. |
|
dbfs |
delete |
Пользователь удаляет файл или каталог из DBF-файлов. |
|
dbfs |
mkdirs |
Пользователь создает новый каталог DBFS. |
|
dbfs |
move |
Пользователь перемещает файл из одного расположения в другое расположение в DBFs. |
|
dbfs |
put |
Пользователь загружает файл, используя отправку формы в формате multipart для DBFs. |
|
Операционные события DBFS
В плоскости вычислений происходят следующие события аудита DBFS.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
dbfs |
mount |
Пользователь создает точку подключения в определенном расположении DBFS. |
|
dbfs |
unmount |
Пользователь удаляет точку подключения в определенном расположении DBFS. |
|
События в Delta-потоках
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Пользователь изменяет разрешения на конвейер. |
|
deltaPipelines |
create |
Пользователь создает конвейер DLT. |
|
deltaPipelines |
delete |
Пользователь удаляет конвейер DLT. |
|
deltaPipelines |
edit |
Пользователь изменяет конвейер DLT. |
|
deltaPipelines |
startUpdate |
Пользователь перезапускает конвейер DLT. |
|
deltaPipelines |
stop |
Пользователь останавливает конвейер DLT. |
|
События хранилища компонентов
featureStore Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
featureStore |
addConsumer |
Потребитель добавляется в хранилище компонентов. |
|
featureStore |
addDataSources |
Источник данных добавляется в таблицу компонентов. |
|
featureStore |
addProducer |
Производитель добавляется в таблицу характеристик. |
|
featureStore |
changeFeatureTableAcl |
Разрешения изменяются в таблице компонентов. |
|
featureStore |
createFeatureTable |
Создается таблица признаков. |
|
featureStore |
createFeatures |
Компоненты создаются в таблице компонентов. |
|
featureStore |
deleteFeatureTable |
Удаляется таблица функций. |
|
featureStore |
deleteTags |
Теги удаляются из таблицы компонентов. |
|
featureStore |
getConsumers |
Пользователь делает запрос на получение потребителей в таблице возможностей. |
|
featureStore |
getFeatureTable |
Пользователь делает запрос для получения таблиц характеристик. |
|
featureStore |
getFeatureTablesById |
Пользователь делает запрос, чтобы получить идентификаторы таблиц функций. |
|
featureStore |
getFeatures |
Пользователь делает запрос на получение функций. |
|
featureStore |
getModelServingMetadata |
Пользователь делает вызов для получения метаданных сервиса модели. |
|
featureStore |
getOnlineStore |
Пользователь делает звонок, чтобы получить сведения об интернет-магазине. |
|
featureStore |
getTags |
Пользователь делает запрос на получение тегов для таблицы признаков. |
|
featureStore |
publishFeatureTable |
Опубликована таблица характеристик. |
|
featureStore |
searchFeatureTables |
Пользователь ищет таблицы компонентов. |
|
featureStore |
setTags |
Теги добавляются в таблицу компонентов. |
|
featureStore |
updateFeatureTable |
Обновляется таблица компонентов. |
|
События файлов
filesystem Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
filesystem |
filesGet |
Пользователь загружает файл через API файлов или интерфейс разделов. |
|
filesystem |
filesPut |
Пользователь загружает файл с помощью API для работы с файлами или интерфейса управления томами. |
|
filesystem |
filesDelete |
Пользователь удаляет файл с помощью интерфейса API файлов или интерфейса томов. |
|
filesystem |
filesHead |
Пользователь получает сведения о файле с помощью API файлов или пользовательского интерфейса томов. |
|
События Genie
genie Следующие события регистрируются на уровне рабочей области.
Примечание.
Эта служба не связана с пространствами AI/BI Genie. См. события AI/BI Genie.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
genie |
databricksAccess |
Персонал Databricks может получить доступ к клиентской среде. |
|
События учетных данных Git
gitCredentials Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
gitCredentials |
getGitCredential |
Пользователь получает учетные данные Git. |
|
gitCredentials |
listGitCredentials |
Пользователь перечисляет все учетные данные Git | ничего |
gitCredentials |
deleteGitCredential |
Пользователь удаляет учетные данные Git. |
|
gitCredentials |
updateGitCredential |
Пользователь обновляет учетные данные Git. |
|
gitCredentials |
createGitCredential |
Пользователь создает учетные данные Git. |
|
Глобальные события сценариев инициализации
globalInitScripts Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
globalInitScripts |
create |
Администратор рабочей области создает скрипт глобальной инициализации. |
|
globalInitScripts |
update |
Администратор рабочей области обновляет скрипт глобальной инициализации. |
|
globalInitScripts |
delete |
Администратор рабочей области удаляет скрипт глобальной инициализации. |
|
Группы событий
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
groups Следующие события регистрируются на уровне рабочей области. Эти действия связаны с устаревшими группами ACL. Для действий, связанных с группами на уровне учетной записи и рабочей области, см. События учетной записи и События на уровне учетной записи.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
groups |
addPrincipalToGroup |
Администратор добавляет пользователя в группу. |
|
groups |
createGroup |
Администратор создает группу. |
|
groups |
getGroupMembers |
Администратор просматривает участников группы. |
|
groups |
getGroups |
Администратор просматривает список групп | ничего |
groups |
getInheritedGroups |
Администратор просматривает унаследованные группы | ничего |
groups |
removeGroup |
Администратор удаляет группу. |
|
События роли IAM
iamRole Следующее событие регистрируется на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
iamRole |
changeIamRoleAcl |
Администратор рабочей среды изменяет разрешения для роли IAM. |
|
События приема
ingestion Следующее событие регистрируется на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
ingestion |
proxyFileUpload |
Пользователь отправляет файл в рабочую область Azure Databricks. |
|
События пула экземпляров
instancePools Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Пользователь изменяет права доступа для пула экземпляров. |
|
instancePools |
create |
Пользователь создает пул экземпляров. |
|
instancePools |
delete |
Пользователь удаляет пул экземпляров. |
|
instancePools |
edit |
Пользователь редактирует пул экземпляров. |
|
События задания
jobs Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
jobs |
cancel |
Выполнение задания отменено. |
|
jobs |
cancelAllRuns |
Пользователь отменяет все запуски в задании. |
|
jobs |
changeJobAcl |
Пользователь обновляет разрешения для задания. |
|
jobs |
create |
Пользователь создает задание. |
|
jobs |
delete |
Пользователь удаляет задание. |
|
jobs |
deleteRun |
Пользователь удаляет выполнение задания. |
|
jobs |
getRunOutput |
Пользователь вызывает API, чтобы получить результаты запуска. |
|
jobs |
repairRun |
Пользователь восстанавливает выполнение задания. |
|
jobs |
reset |
Задание сброшено. |
|
jobs |
resetJobAcl |
Пользователь запрашивает изменение разрешений задания. |
|
jobs |
runCommand |
Доступно при включении подробных журналов аудита. Выдаётся после выполнения команды в записной книжке посредством запуска задания. Команда соответствует ячейке записной книжки. |
|
jobs |
runFailed |
Выполнение задания проваливается. |
|
jobs |
runNow |
Пользователь активирует выполнение задания по запросу. |
|
jobs |
runStart |
Генерируется при запуске задания после валидации и создания кластера. Параметры запроса, создаваемые этим событием, зависят от типа задач в задании. Помимо перечисленных параметров они могут включать:
|
|
jobs |
runSucceeded |
Выполнение задания прошло успешно. |
|
jobs |
runTriggered |
Запуск задания осуществляется автоматически в соответствии с его расписанием или триггером. |
|
jobs |
sendRunWebhook |
Вебхук отправляется, когда задание начинается, успешно завершается или завершается сбоем. |
|
jobs |
setTaskValue |
Пользователь задает значения для задачи. |
|
jobs |
submitRun |
Пользователь отправляет однократный запуск через API. |
|
jobs |
update |
Пользователь изменяет параметры задания. |
|
события отслеживания происхождения
lineageTracking Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
lineageTracking |
listColumnLineages |
Пользователь обращается к списку восходящих или подчиненных столбцов столбца. |
|
lineageTracking |
listSecurableLineagesBySecurable |
Пользователь получает доступ к списку объект защищенности, относящихся к верхнему или нижнему уровню иерархии. |
|
lineageTracking |
listEntityLineagesBySecurable |
Пользователь обращается к списку сущностей (блокнотов, заданий и т. д.), которые записывают в защищаемый объект или считывают из него. |
|
lineageTracking |
getColumnLineages |
Пользователь получает родословные столбцов для таблицы и ее столбцов. |
|
lineageTracking |
getTableEntityLineages |
Пользователь получает восходящие и подчиненные линии таблицы. |
|
lineageTracking |
getJobTableLineages |
Пользователь получает входящие и выходящие зависимости таблиц задачи. |
|
lineageTracking |
getFunctionLineages |
Пользователь получает объекты безопасности и сущности, связанные с входящими и исходящими потоками функции (например, записные книжки, задания и т. д.). |
|
lineageTracking |
getModelVersionLineages |
Пользователь получает защищаемые объекты и сущности (записные книжки, задания и т. д.), связанные с входящими и исходящими потоками модели и её версии. |
|
lineageTracking |
getEntityTableLineages |
Пользователь получает вышестоящие и нижестоящие таблицы сущности (например, записные книжки, задания и т. д.). |
|
lineageTracking |
getFrequentlyJoinedTables |
Пользователь получает часто объединяемые таблицы для заданной таблицы. |
|
lineageTracking |
getFrequentQueryByTable |
Пользователь получает частые запросы для таблицы. |
|
lineageTracking |
getFrequentUserByTable |
Пользователь получает информацию о наиболее частых пользователях таблицы. |
|
lineageTracking |
getTablePopularityByDate |
Пользователь получает популярность (количество запросов) для таблицы за прошлый месяц. |
|
lineageTracking |
getPopularEntities |
Пользователь получает популярные объекты (записные книжки, задачи и т. д.) для таблицы. |
|
lineageTracking |
getPopularTables |
Пользователь получает сведения о популярности таблицы для списка таблиц. |
|
Потребительские мероприятия на "Marketplace"
marketplaceConsumer Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Пользователь получает доступ к продукту данных через Databricks Marketplace. |
|
marketplaceConsumer |
requestDataProduct |
Пользователь запрашивает доступ к продукту данных, которому требуется утверждение поставщика. |
|
События поставщика в Marketplace
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
marketplaceProvider Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
marketplaceProvider |
createListing |
Администратор хранилища метаданных создает список в профиле поставщика. |
|
marketplaceProvider |
updateListing |
Администратор хранилища метаданных обновляет список в профиле поставщика. |
|
marketplaceProvider |
deleteListing |
Администратор хранилища метаданных удаляет список в профиле поставщика. |
|
marketplaceProvider |
updateConsumerRequestStatus |
Администраторы хранилища метаданных утверждают или запрещают запрос на продукт данных. |
|
marketplaceProvider |
createProviderProfile |
Администратор хранилища метаданных создает профиль поставщика. |
|
marketplaceProvider |
updateProviderProfile |
Администратор хранилища метаданных обновляет свой профиль поставщика. |
|
marketplaceProvider |
deleteProviderProfile |
Администратор хранилища метаданных удаляет свой профиль поставщика. |
|
marketplaceProvider |
uploadFile |
Поставщик загружает файл в профиль поставщика. |
|
marketplaceProvider |
deleteFile |
Поставщик удаляет файл из профиля поставщика. |
|
Артефакты MLflow с событиями ACL
mlflowAcledArtifact Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Пользователь делает запрос на чтение артефакта. |
|
mlflowAcledArtifact |
writeArtifact |
Пользователь выполняет операцию записи в артефакт. |
|
События эксперимента MLflow
mlflowExperiment Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Пользователь создает эксперимент MLflow. |
|
mlflowExperiment |
deleteMlflowExperiment |
Пользователь удаляет эксперимент MLflow. |
|
mlflowExperiment |
moveMlflowExperiment |
Пользователь перемещает эксперимент MLflow. |
|
mlflowExperiment |
restoreMlflowExperiment |
Пользователь восстанавливает эксперимент MLflow. |
|
mlflowExperiment |
renameMlflowExperiment |
Пользователь переименовывает эксперимент MLflow. |
|
События реестра моделей MLflow
mlflowModelRegistry Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Пользователь утверждает запрос на переход стадии версии модели. |
|
modelRegistry |
changeRegisteredModelAcl |
Пользователь обновляет разрешения для зарегистрированной модели. |
|
modelRegistry |
createComment |
Пользователь публикует комментарий к версии модели. |
|
modelRegistry |
createModelVersion |
Пользователь создает версию модели. |
|
modelRegistry |
createRegisteredModel |
Пользователь создает новую зарегистрированную модель |
|
modelRegistry |
createRegistryWebhook |
Пользователь создает вебхук для событий реестра моделей. |
|
modelRegistry |
createTransitionRequest |
Пользователь создает запрос на переход стадии версии модели. |
|
modelRegistry |
deleteComment |
Пользователь удаляет комментарий к версии модели. |
|
modelRegistry |
deleteModelVersion |
Пользователь удаляет версию модели. |
|
modelRegistry |
deleteModelVersionTag |
Пользователь удаляет тег версии модели. |
|
modelRegistry |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель |
|
modelRegistry |
deleteRegisteredModelTag |
Пользователь удаляет тег для зарегистрированной модели. |
|
modelRegistry |
deleteRegistryWebhook |
Пользователь удаляет вебхук реестра моделей. |
|
modelRegistry |
deleteTransitionRequest |
Пользователь отменяет запрос на изменение этапа версии модели. |
|
modelRegistry |
finishCreateModelVersionAsync |
Завершено копирование асинхронной модели. |
|
modelRegistry |
generateBatchInferenceNotebook |
Ноутбук для пакетной инференции создаётся автоматически. |
|
modelRegistry |
generateDltInferenceNotebook |
Тетрадь вывода для конвейера DLT создается автоматически. |
|
modelRegistry |
getModelVersionDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания версии модели. |
|
modelRegistry |
getModelVersionSignedDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания подписанной версии модели. |
|
modelRegistry |
listModelArtifacts |
Пользователь делает запрос на список артефактов модели. |
|
modelRegistry |
listRegistryWebhooks |
Пользователь делает запрос для перечисления всех веб-перехватчиков в реестре модели. |
|
modelRegistry |
rejectTransitionRequest |
Пользователь отклоняет запрос на переход стадии версии модели. |
|
modelRegistry |
renameRegisteredModel |
Пользователь переименовывает зарегистрированную модель |
|
modelRegistry |
setEmailSubscriptionStatus |
Пользователь обновляет состояние подписки электронной почты для зарегистрированной модели | |
modelRegistry |
setModelVersionTag |
Пользователь задает тег версии модели. |
|
modelRegistry |
setRegisteredModelTag |
Пользователь задает тег версии модели. |
|
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Пользователь обновляет состояние уведомлений по электронной почте для всего реестра. |
|
modelRegistry |
testRegistryWebhook |
Пользователь проверяет вебхук реестра моделей. |
|
modelRegistry |
transitionModelVersionStage |
Пользователь получает список всех открытых запросов на переход стадии для версии модели. |
|
modelRegistry |
triggerRegistryWebhook |
Веб-хук реестра моделей активируется событием. |
|
modelRegistry |
updateComment |
Пользователь публикует изменения в комментарии к версии модели. |
|
modelRegistry |
updateRegistryWebhook |
Пользователь обновляет вебхук реестра моделей. |
|
События обслуживания модели
serverlessRealTimeInference Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Пользователь обновляет разрешения для инференс-эндпоинта. |
|
serverlessRealTimeInference |
createServingEndpoint |
Пользователь создает конечную точку обслуживания модели. |
|
serverlessRealTimeInference |
deleteServingEndpoint |
Пользователь удаляет конечную точку обслуживания модели. |
|
serverlessRealTimeInference |
disable |
Пользователь отключает обслуживание модели для зарегистрированной модели. |
|
serverlessRealTimeInference |
enable |
Пользователь активирует обслуживание модели для зарегистрированной модели. |
|
serverlessRealTimeInference |
getQuerySchemaPreview |
Пользователи делают запрос, чтобы получить предварительный просмотр схемы запроса. |
|
serverlessRealTimeInference |
updateServingEndpoint |
Пользователь обновляет конечную точку обслуживания модели. |
|
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
Пользователь обновляет ограничения скорости для конечной точки вывода. Ограничения скорости применяются только к API-интерфейсам модели Foundation с оплатой за каждый токен и внешним конечным точкам модели. |
|
События блокнота
notebook Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
notebook |
attachNotebook |
Ноутбук подключен к кластеру. |
|
notebook |
cloneNotebook |
Пользователь клонирует записную книжку. |
|
notebook |
createNotebook |
Создается записная книжка. |
|
notebook |
deleteFolder |
Папка записной книжки удаляется. |
|
notebook |
deleteNotebook |
Записная книжка удаляется. |
|
notebook |
detachNotebook |
Ноутбук отсоединяется от кластера. |
|
notebook |
downloadLargeResults |
Пользователь скачивает результаты запроса, которые слишком велики, чтобы отобразить их в ноутбуке. |
|
notebook |
downloadPreviewResults |
Пользователь скачивает результаты запроса. |
|
notebook |
importNotebook |
Пользователь импортирует записную книжку. |
|
notebook |
moveFolder |
Папка записной книжки перемещается из одного расположения в другое. |
|
notebook |
moveNotebook |
Записная книжка перемещается из одного расположения в другое. |
|
notebook |
renameNotebook |
Записная книжка переименована. |
|
notebook |
restoreFolder |
Удаленная папка восстанавливается. |
|
notebook |
restoreNotebook |
Удаленная записная книжка восстанавливается. |
|
notebook |
runCommand |
Доступно при включении подробных журналов аудита. Испускается после выполнения команды Databricks в блокноте. Команда соответствует ячейке тетради.executionTime измеряется в секундах. |
|
notebook |
takeNotebookSnapshot |
Моментальные снимки записной книжки создаются, когда запускается служба заданий или mlflow. |
|
События Partner Connect
partnerHub Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Администратор рабочей области настраивает подключение к партнерскому решению. |
|
partnerHub |
deletePartnerConnection |
Администратор рабочей области удаляет подключение партнера. |
|
partnerHub |
downloadPartnerConnectionFile |
Администратор рабочей области скачивает файл подключения партнера. |
|
partnerHub |
setupResourcesForPartnerConnection |
Администратор рабочей области настраивает ресурсы для подключения партнера. |
|
События прогнозной оптимизации
predictiveOptimization Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
predictiveOptimization |
PutMetrics |
Записывается при обновлении таблиц прогнозной оптимизации и метрик рабочей нагрузки, чтобы служба могла более эффективно планировать операции оптимизации. |
|
События службы истории удаленного доступа
RemoteHistoryService Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
RemoteHistoryService |
addUserGitHubCredentials |
Пользователь добавляет учетные данные Github | ничего |
RemoteHistoryService |
deleteUserGitHubCredentials |
Пользователь удаляет учетные данные Github | ничего |
RemoteHistoryService |
updateUserGitHubCredentials |
Обновление пользователем учетных данных на Github | ничего |
События папки Git
repos Следующие события регистрируются на уровне рабочей области.
| Сервис | Имя действия | Описание | Параметры запроса |
|---|---|---|---|
repos |
checkoutBranch |
Пользователь проверяет ветвь в репозитории. |
|
repos |
commitAndPush |
Пользователь фиксирует и отправляет в репозиторий. |
|
repos |
createRepo |
Пользователь создает репозиторий в рабочей области |
|
repos |
deleteRepo |
Пользователь удаляет репозиторий. |
|
repos |
discard |
Пользователь удаляет коммит в репозитории. |
|
repos |
getRepo |
Пользователь делает запрос, чтобы получить информацию об одном репозитории. |
|
repos |
listRepos |
Пользователь делает запрос, чтобы получить все репозитории, для которых у них есть разрешения на управление. |
|
repos |
pull |
Пользователь получает последние коммиты из репозитория. |
|
repos |
updateRepo |
Пользователь обновляет репозиторий на другую ветвь или тег, либо на последний коммит в той же ветви. |
|
Секретные события
secrets Следующие события регистрируются на уровне рабочей области.
| Сервис | Название действия | Описание | Параметры запроса |
|---|---|---|---|
secrets |
createScope |
Пользователь создает область секрета. |
|
secrets |
deleteAcl |
Пользователь удаляет ACLs для секретной области. |
|
secrets |
deleteScope |
Пользователь удаляет секретную область. |
|
secrets |
deleteSecret |
Пользователь удаляет секретную информацию из области. |
|
secrets |
getAcl |
Пользователь получает списки управления доступом (ACL) для секретной области. |
|
secrets |
getSecret |
Пользователь получает секрет из контекста. |
|
secrets |
listAcls |
Пользователь делает запрос на получение списка ACL для секретной области. |
|
secrets |
listScopes |
Пользователь выполняет запрос для получения списка секретных областей доступа. | ничего |
secrets |
listSecrets |
Пользователь запрашивает перечисление секретов в заданном контексте. |
|
secrets |
putAcl |
Пользователь изменяет списки ACL для секретной области. |
|
secrets |
putSecret |
Пользователь добавляет или редактирует секрет в области. |
|
события доступа к таблице SQL
Примечание.
Служба sqlPermissions включает события, связанные с устаревшим контролем доступа к таблицам хранилища метаданных Hive. Databricks рекомендует обновить таблицы, управляемые хранилищем метаданных Hive, до хранилища метаданных каталога Unity.
sqlPermissions Следующие события регистрируются на уровне рабочей области.
| Сервис | Имя действия | Описание | Параметры запроса |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Администратор рабочей области или владелец объекта передает владение объектом. |
|
sqlPermissions |
createSecurable |
Пользователь создает защищаемый объект. |
|
sqlPermissions |
denyPermission |
Владелец объекта отменяет привилегии для защищаемого объекта. |
|
sqlPermissions |
grantPermission |
Владелец объекта предоставляет разрешение на защищаемый объект. |
|
sqlPermissions |
removeAllPermissions |
Пользователь удаляет защищаемый объект. |
|
sqlPermissions |
renameSecurable |
Пользователь переименовывает защищаемый объект. |
|
sqlPermissions |
requestPermissions |
Пользователь запрашивает разрешения на защищаемый объект. |
|
sqlPermissions |
revokePermission |
Владелец объекта отменяет разрешения на защищаемый объект. |
|
sqlPermissions |
showPermissions |
Пользователь просматривает разрешения защищаемых объектов. |
|
События SSH
ssh Следующие события регистрируются на уровне рабочей области.
| Сервис | Имя действия | Описание | Параметры запроса |
|---|---|---|---|
ssh |
login |
Вход агента SSH в драйвер Spark. |
|
ssh |
logout |
Выход агента SSH из драйвера Spark. |
|
Мероприятия по поиску векторов
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
vectorSearch Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
vectorSearch |
createEndpoint |
Пользователь создает конечную точку векторного поиска. |
|
vectorSearch |
deleteEndpoint |
Пользователь удаляет конечную точку векторного поиска. |
|
vectorSearch |
createVectorIndex |
Пользователь создает индекс векторного поиска. |
|
vectorSearch |
deleteVectorIndex |
Пользователь удаляет индекс векторного поиска. |
|
vectorSearch |
changeEndpointAcl |
Пользователь изменяет список управления доступом для конечной точки. |
|
vectorSearch |
queryVectorIndex |
Пользователь запрашивает индекс векторного поиска. |
|
vectorSearch |
queryVectorIndexNextPage |
Пользователь считывает результаты с разбивкой на страницы запроса индекса векторного поиска. |
|
vectorSearch |
scanVectorIndex |
Пользователь сканирует все данные в индексе векторного поиска. |
|
vectorSearch |
upsertDataVectorIndex |
Пользователь добавляет или обновляет данные в индексе векторного поиска Direct Access. |
|
vectorSearch |
deleteDataVectorIndex |
Пользователь удаляет данные в индексе векторного поиска Direct Access. |
|
vectorSearch |
queryVectorIndexRouteOptimized |
Пользователь запрашивает индекс векторного поиска с помощью маршрута API с низкой задержкой. |
|
vectorSearch |
queryVectorIndexNextPageRouteOptimized |
Пользователь читает постраничные результаты запроса индекса векторного поиска через API-маршрут с низкой задержкой. |
|
vectorSearch |
scanVectorIndexRouteOptimized |
Пользователь сканирует все данные в индексе векторного поиска с помощью маршрута API с низкой задержкой. |
|
vectorSearch |
upsertDataVectorIndexRouteOptimized |
Пользователь добавляет или обновляет данные в индексе векторного поиска Direct Access с помощью маршрута API низкой задержки. |
|
vectorSearch |
deleteDataVectorIndexRouteOptimized |
Пользователь удаляет данные в индексе векторного поиска Direct Access с помощью маршрута API с низкой задержкой. |
|
События веб-терминала
webTerminal Следующие события регистрируются на уровне рабочей области.
| Сервис | Имя действия | Описание | Параметры запроса |
|---|---|---|---|
webTerminal |
startSession |
Пользователь запускает сеансы веб-терминала. |
|
webTerminal |
closeSession |
Пользователь закрывает сеанс веб-терминала. |
|
События рабочей области
workspace Следующие события регистрируются на уровне рабочей области.
| Сервис | Имя действия | Описание | Параметры запроса |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Разрешения для рабочей области изменяются. |
|
workspace |
deleteSetting |
Параметр удаляется из рабочей области. |
|
workspace |
fileCreate |
Пользователь создает файл в рабочей области. |
|
workspace |
fileDelete |
Пользователь удаляет файл в рабочей области. |
|
workspace |
fileEditorOpenEvent |
Пользователь открывает редактор файлов. |
|
workspace |
getRoleAssignment |
Пользователь получает пользовательские роли рабочей области. |
|
workspace |
mintOAuthAuthorizationCode |
Записывается при создании внутреннего кода авторизации OAuth на уровне рабочей области. |
|
workspace |
mintOAuthToken |
Токен OAuth выпущен для рабочего пространства. |
|
workspace |
moveWorkspaceNode |
Администратор рабочей области перемещает узел рабочей области. |
|
workspace |
purgeWorkspaceNodes |
Администратор рабочей области очищает узлы рабочей области. |
|
workspace |
reattachHomeFolder |
Существующая домашняя папка снова прикрепляется для пользователя, который заново добавляется в рабочую область. |
|
workspace |
renameWorkspaceNode |
Администратор рабочей области переименовывает узлы рабочей области. |
|
workspace |
unmarkHomeFolder |
Специальные атрибуты домашней папки удаляются при удалении пользователя из рабочей области. |
|
workspace |
updateRoleAssignment |
Администратор рабочей области обновляет роль пользователя рабочей области. |
|
workspace |
updatePermissionAssignment |
Администратор рабочей области добавляет субъект в рабочую область. |
|
workspace |
setSetting |
Администратор рабочей области настраивает параметр рабочей области. |
|
workspace |
workspaceConfEdit |
Администратор рабочей области обновляет параметр, например, включив подробные журналы аудита. |
|
workspace |
workspaceExport |
Пользователь экспортирует записную книжку из рабочей области. |
|
workspace |
workspaceInHouseOAuthClientAuthentication |
OAuth-клиент аутентифицируется в сервисе рабочей области. |
|
События контроля доступа к учетной записи
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
Следующие accountsAccessControl события регистрируются на уровне учетной записи и связаны с API управления доступом к учетной записи (общедоступная предварительная версия).
| Сервис | Название действия | Описание | Параметры запроса |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
Пользователь обновляет набор правил с помощью API управления доступом к учетной записи. |
|
События использования с выставлением счетов
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
accountBillableUsage Следующие события регистрируются на уровне учетной записи.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
Пользователь получил доступ к агрегированному оплачиваемому использованию (использование в день) для учетной записи через функцию графика использования. |
|
accountBillableUsage |
getDetailedUsage |
Пользователь получил доступ к подробной информации об оплачиваемом использовании (использования по каждому кластеру) для учетной записи с помощью функции загрузки использования. |
|
События на уровне учетной записи
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
accounts Следующие события регистрируются на уровне учетной записи.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности. |
|
accounts |
accountIpAclsValidationFailed |
Проверка разрешений IP завершается ошибкой. Возвращает код состояния 403. |
|
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в учетной записи". |
|
accounts |
add |
Пользователь добавляется в учетную запись Azure Databricks. |
|
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня учетной записи. |
|
accounts |
addPrincipalsToGroup |
Пользователи добавляются в группу на уровне учетной записи с помощью включения в SCIM. |
|
accounts |
createGroup |
Создается группа уровня учетной записи. |
|
accounts |
deactivateUser |
Пользователь деактивирован. См. раздел "Отключить пользователей в учетной записи". |
|
accounts |
delete |
Пользователь удаляется из учетной записи Azure Databricks. |
|
accounts |
deleteSetting |
Администратор учетной записи удаляет параметр из учетной записи Azure Databricks. |
|
accounts |
garbageCollectDbToken |
Пользователь запускает команду сборки мусора для токенов, срок действия которых истек. |
|
accounts |
generateDbToken |
Пользователь генерирует токен из настроек пользователя или когда сервис генерирует токен. |
|
accounts |
login |
Пользователь входит в консоль учетной записи. |
|
accounts |
logout |
Пользователь выходит из консоли учетной записи. |
|
accounts |
oidcBrowserLogin |
Пользователь входит в свою учетную запись с помощью рабочего процесса браузера OpenID Connect. |
|
accounts |
oidcTokenAuthorization |
Токен OIDC используется для аутентификации входа администратора учетной записи. |
|
accounts |
removeAccountAdmin |
Администратор учетной записи удаляет разрешения администратора учетной записи от другого пользователя. |
|
accounts |
removeGroup |
Группа удаляется из учетной записи. |
|
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы на уровне учетной записи. |
|
accounts |
removePrincipalsFromGroup |
Пользователи удаляются из группы на уровне учетной записи с помощью управления SCIM. |
|
accounts |
setAccountAdmin |
Администратор учетной записи назначает роль администратора учетной записи другому пользователю. |
|
accounts |
setSetting |
Администратор учетной записи обновляет параметр уровня учетной записи. |
|
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью токена. |
|
accounts |
updateUser |
Администратор учетной записи обновляет учетную запись пользователя. |
|
accounts |
updateGroup |
Администратор учетной записи обновляет группу на уровне учетной записи. |
|
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. |
|
События управления учетными записями
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
accountsManager Следующие события регистрируются на уровне учетной записи. Эти события относятся к конфигурациям, сделанным администраторами учетных записей в консоли учетной записи.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
Администратор учетной записи создал конфигурацию сетевого подключения. |
|
accountsManager |
getNetworkConnectivityConfig |
Администратор учетной записи запрашивает сведения о конфигурации сетевого подключения. |
|
accountsManager |
listNetworkConnectivityConfigs |
Администратор учетной записи перечисляет все конфигурации сетевого подключения в учетной записи. |
|
accountsManager |
deleteNetworkConnectivityConfig |
Администратор учетной записи удалил конфигурацию сетевого подключения. |
|
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
Администратор аккаунта создал правило для частной конечной точки. |
|
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи запрашивает сведения о правиле частной конечной точки. |
|
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
Администратор учетной записи перечисляет все правила частной конечной точки в конфигурации сетевого подключения. |
|
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи удалил правило частной конечной точки. |
|
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи обновил правило частной конечной точки. |
|
События политики бюджета
budgetPolicyCentral Следующие события регистрируются на уровне учетной записи и связаны с политиками бюджета. См. Привязка бессерверного использования к бюджетным политикам.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
Администратор рабочей области или администратор выставления счетов создает политику бюджета. Новый policy_id внесён в столбец response. |
|
budgetPolicyCentral |
updateBudgetPolicy |
Администратор рабочей области, администратор выставления счетов или менеджер политик обновляет политику бюджета. |
|
budgetPolicyCentral |
updateBudgetPolicy |
Администратор рабочей области, администратор выставления счетов или менеджер политик удаляет бюджетную политику. |
|
События "Чистые комнаты"
clean-room Следующие события регистрируются на уровне учетной записи.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
clean-room |
createCleanRoom |
Пользователь в учетной записи Databricks создает новую чистую комнату с помощью пользовательского интерфейса или API. |
|
clean-room |
createCleanRoomOutputCatalog |
Пользователь в учетной записи Databricks создает выходную таблицу в чистом помещении с помощью пользовательского интерфейса или API. |
|
clean-room |
deleteCleanRoom |
Пользователь в учетной записи Databricks удаляет чистую комнату с помощью пользовательского интерфейса или API. |
|
clean-room |
getCleanRoom |
Пользователь в вашей учетной записи получает сведения о чистом помещении с помощью пользовательского интерфейса или API. |
|
clean-room |
getCleanRoomAsset |
Пользователь в вашей учетной записи просматривает подробности о данных чистой комнаты через интерфейс. |
|
clean-room |
listCleanRooms |
Пользователь получает список всех чистых комнат с помощью пользовательского интерфейса рабочей области или всех чистых комнат в хранилище метаданных с помощью API. |
|
clean-room |
updateCleanRoom |
Пользователь в вашей учетной записи обновляет сведения или ресурсы чистой комнаты. |
|
события каталога Unity
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
Следующие диагностические события связаны с каталогом Unity. События Delta Sharing также регистрируются в службе unityCatalog. Для событий Delta Sharing см. События Delta Sharing. События аудита каталога Unity можно регистрировать на уровне рабочей области или на уровне учетной записи в зависимости от события.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
unityCatalog |
createMetastore |
Администратор учетной записи создает хранилище метаданных. |
|
unityCatalog |
getMetastore |
Администратор учетной записи запрашивает идентификатор хранилища метаданных. |
|
unityCatalog |
getMetastoreSummary |
Администратор учетной записи запрашивает сведения о хранилище метаданных. |
|
unityCatalog |
listMetastores |
Администратор учетной записи запрашивает список всех хранилищ метаданных в учетной записи. |
|
unityCatalog |
updateMetastore |
Администратор учетной записи обновляет хранилище метаданных. |
|
unityCatalog |
deleteMetastore |
Администратор учетной записи удаляет хранилище метаданных. |
|
unityCatalog |
updateMetastoreAssignment |
Администратор учетной записи обновляет назначение рабочей области хранилища метаданных. |
|
unityCatalog |
createExternalLocation |
Администратор учетной записи создает внешнее местоположение. |
|
unityCatalog |
getExternalLocation |
Администратор учетной записи запрашивает сведения о внешнем местоположении. |
|
unityCatalog |
listExternalLocations |
Администратор учетной записи запрашивает список всех внешних местоположений в учетной записи. |
|
unityCatalog |
updateExternalLocation |
Администратор учетной записи обновляет внешнее местоположение. |
|
unityCatalog |
deleteExternalLocation |
Администратор учетной записи удаляет внешнее местоположение. |
|
unityCatalog |
createCatalog |
Пользователь создает каталог. |
|
unityCatalog |
deleteCatalog |
Пользователь удаляет каталог. |
|
unityCatalog |
getCatalog |
Пользователь запрашивает сведения о каталоге. |
|
unityCatalog |
updateCatalog |
Пользователь обновляет каталог. |
|
unityCatalog |
listCatalog |
Пользователь вызывает список всех каталогов в хранилище метаданных. |
|
unityCatalog |
createSchema |
Пользователь создает схему. |
|
unityCatalog |
deleteSchema |
Пользователь удаляет схему. |
|
unityCatalog |
getSchema |
Пользователь запрашивает сведения о схеме. |
|
unityCatalog |
listSchema |
Пользователь запрашивает список всех схем в каталоге. |
|
unityCatalog |
updateSchema |
Пользователь обновляет схему. |
|
unityCatalog |
createStagingTable |
|
|
unityCatalog |
createTable |
Пользователь создает таблицу. Параметры запроса различаются в зависимости от типа создаваемой таблицы. |
|
unityCatalog |
deleteTable |
Пользователь удаляет таблицу. |
|
unityCatalog |
getTable |
Пользователь запрашивает сведения о таблице. |
|
unityCatalog |
privilegedGetTable |
|
|
unityCatalog |
listTables |
Пользователь вызывает список всех таблиц в схеме. |
|
unityCatalog |
listTableSummaries |
Пользователь получает массив сводок о таблицах в схеме и каталоге метаданного хранилища. |
|
unityCatalog |
updateTables |
Пользователь вносит обновление в таблицу. Отображаемые параметры запроса зависят от типа внесенных обновлений таблицы. |
|
unityCatalog |
createStorageCredential |
Администратор учетной записи создает учетные данные хранения. Вы можете увидеть дополнительный параметр запроса на основе учетных данных поставщика облачных служб. |
|
unityCatalog |
listStorageCredentials |
Администратор учетной записи делает запрос на перечисление всех данных доступа к хранилищу в учетной записи. |
|
unityCatalog |
getStorageCredential |
Администратор учетной записи запрашивает сведения о учетных данных хранения. |
|
unityCatalog |
updateStorageCredential |
Администратор учетной записи обновляет учетные данные хранения. |
|
unityCatalog |
deleteStorageCredential |
Администратор учетной записи удаляет учетные данные хранения. |
|
unityCatalog |
generateTemporaryTableCredential |
Регистрируется каждый раз, когда предоставляются временные права доступа к таблице. Это событие можно использовать для определения того, кто запрашивал что и когда. |
|
unityCatalog |
generateTemporaryPathCredential |
Регистрируется всякий раз, когда временные учетные данные предоставляются для маршрута. |
|
unityCatalog |
checkPathAccess |
Регистрируется всякий раз, когда разрешения пользователя проверяются для заданного пути. |
|
unityCatalog |
getPermissions |
Пользователь делает вызов, чтобы получить сведения о разрешениях для защищаемого объекта. Этот вызов не возвращает унаследованные разрешения, только явно назначенные разрешения. |
|
unityCatalog |
getEffectivePermissions |
Пользователь делает запрос на получение всех сведений о разрешениях для защищаемого объекта. Запрос эффективных разрешений возвращает как явно назначенные, так и унаследованные разрешения. |
|
unityCatalog |
updatePermissions |
Разрешения пользователей обновляются для защищаемого объекта. |
|
unityCatalog |
metadataSnapshot |
Пользователь запрашивает метаданные из предыдущей версии таблицы. |
|
unityCatalog |
metadataAndPermissionsSnapshot |
Пользователь запрашивает метаданные и разрешения из предыдущей версии таблицы. |
|
unityCatalog |
updateMetadataSnapshot |
Пользователь обновляет метаданные из предыдущей версии таблицы. |
|
unityCatalog |
getForeignCredentials |
Пользователь делает вызов, чтобы получить информацию о внешнем ключе. |
|
unityCatalog |
getInformationSchema |
Пользователь делает запрос, чтобы получить сведения о схеме. |
|
unityCatalog |
createConstraint |
Пользователь создает ограничение для таблицы. |
|
unityCatalog |
deleteConstraint |
Пользователь удаляет ограничение для таблицы. |
|
unityCatalog |
createPipeline |
Пользователь создает конвейер Unity Catalog. |
|
unityCatalog |
updatePipeline |
Пользователь обновляет конвейер каталога Unity. |
|
unityCatalog |
getPipeline |
Пользователь запрашивает сведения о пайплайне Unity Catalog. |
|
unityCatalog |
deletePipeline |
Пользователь удаляет конвейер каталога Unity. |
|
unityCatalog |
deleteResourceFailure |
Ресурс не удаляется | ничего |
unityCatalog |
createVolume |
Пользователь создает том каталога Unity. |
|
unityCatalog |
getVolume |
Пользователь делает запрос, чтобы получить сведения о томе каталога Unity. |
|
unityCatalog |
updateVolume |
Пользователь обновляет метаданные тома каталога Unity с помощью вызовов ALTER VOLUME или COMMENT ON. |
|
unityCatalog |
deleteVolume |
Пользователь удаляет том каталога Unity. |
|
unityCatalog |
listVolumes |
Пользователь делает запрос, чтобы получить список всех томов Unity Catalog в схеме. |
|
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются при выполнении пользователем операции чтения или записи на томе. Это событие можно использовать для определения того, кто и когда получил доступ к диску. |
|
unityCatalog |
getTagSecurableAssignments |
Назначения тегов для защищаемого элемента извлекаются |
|
unityCatalog |
getTagSubentityAssignments |
Назначения тегов для подсущности извлекаются |
|
unityCatalog |
UpdateTagSecurableAssignments |
Назначения тегов для защищаемого объекта обновляются |
|
unityCatalog |
UpdateTagSubentityAssignments |
Обновляются назначения тегов для субсущности |
|
unityCatalog |
createRegisteredModel |
Пользователь создает модель, зарегистрированную в Unity Catalog. |
|
unityCatalog |
getRegisteredModel |
Пользователь делает запрос, чтобы получить сведения о зарегистрированной модели в каталоге Unity. |
|
unityCatalog |
updateRegisteredModel |
Пользователь обновляет метаданные зарегистрированной модели каталога Unity. |
|
unityCatalog |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель каталога Unity. |
|
unityCatalog |
listRegisteredModels |
Пользователь отправляет запрос на получение списка зарегистрированных моделей каталога Unity в схеме или список моделей в нескольких каталогах и схемах. |
|
unityCatalog |
createModelVersion |
Пользователь создает версию модели в каталоге Unity. |
|
unityCatalog |
finalizeModelVersion |
Пользователь делает вызов, чтобы окончательно завершить версию модели каталога Unity после загрузки файлов версии модели в место хранения, делая её доступной только для чтения и использованной в рабочих процессах вывода. |
|
unityCatalog |
getModelVersion |
Пользователь делает запрос, чтобы получить сведения о версии модели. |
|
unityCatalog |
getModelVersionByAlias |
Пользователь делает запрос для получения информации о версии модели с помощью псевдонима. |
|
unityCatalog |
updateModelVersion |
Пользователь обновляет метаданные версии модели. |
|
unityCatalog |
deleteModelVersion |
Пользователь удаляет версию модели. |
|
unityCatalog |
listModelVersions |
Пользователь делает запрос на получение списка версий моделей в каталоге Unity для зарегистрированной модели. |
|
unityCatalog |
generateTemporaryModelVersionCredential |
Временные учетные данные создаются, когда пользователь выполняет запись (во время создания начальной версии модели) или чтение (после завершения версии модели). Это событие можно использовать для определения того, кто обращается к версии модели и когда. |
|
unityCatalog |
setRegisteredModelAlias |
Пользователь задает псевдоним для модели, зарегистрированной в каталоге Unity. |
|
unityCatalog |
deleteRegisteredModelAlias |
Пользователь удаляет псевдоним на модели, зарегистрированной в каталоге Unity. |
|
unityCatalog |
getModelVersionByAlias |
Пользователь получает версию модели каталога Unity с использованием псевдонима. |
|
unityCatalog |
createConnection |
Создается новое внешнее подключение. |
|
unityCatalog |
deleteConnection |
Удаляется внешнее подключение. |
|
unityCatalog |
getConnection |
Извлекается внешнее подключение. |
|
unityCatalog |
updateConnection |
Обновляется внешнее подключение. |
|
unityCatalog |
listConnections |
Перечислены внешние подключения в хранилище метаданных. |
|
unityCatalog |
createFunction |
Пользователь создает новую функцию. |
|
unityCatalog |
updateFunction |
Пользователь обновляет функцию. |
|
unityCatalog |
listFunctions |
Пользователь запрашивает список всех функций в определенном родительском каталоге или схеме. |
|
unityCatalog |
getFunction |
Пользователь запрашивает функцию из родительского каталога или схемы. |
|
unityCatalog |
deleteFunction |
Пользователь запрашивает функцию из родительского каталога или схемы. |
|
unityCatalog |
createShareMarketplaceListingLink |
|
|
unityCatalog |
deleteShareMarketplaceListingLink |
|
|
unityCatalog |
generateTemporaryServiceCredential |
Временные учетные данные создаются для доступа к учетной записи облачной службы из Databricks. |
|
Мероприятия Delta Sharing
Примечание.
Эта служба недоступна с помощью параметров диагностики Azure. Для доступа к этим событиям включите системную таблицу журнала аудита .
События Delta Sharing разделены на два раздела: события, записанные в учетной записи поставщика данных, и события, записанные в учетной записи получателя данных.
События поставщика Delta Sharing
Следующие события журнала аудита регистрируются в учетной записи поставщика. Действия, выполняемые получателями, начинаются с префикса deltaSharing. Каждый из этих журналов также включает в себя request_params.metastore_idхранилище метаданных, которое управляет общими данными и userIdentity.emailявляется идентификатором пользователя, инициирующего действие.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Получатель данных запрашивает список долей. |
|
unityCatalog |
deltaSharingGetShare |
Получатель данных запрашивает сведения об акциях. |
|
unityCatalog |
deltaSharingListSchemas |
Получатель данных запрашивает список общих схем. |
|
unityCatalog |
deltaSharingListAllTables |
Получатель данных запрашивает список всех общих таблиц. |
|
unityCatalog |
deltaSharingListTables |
Получатель данных запрашивает список общих таблиц. |
|
unityCatalog |
deltaSharingGetTableMetadata |
Получатель данных запрашивает сведения о метаданных таблицы. |
|
unityCatalog |
deltaSharingGetTableVersion |
Получатель данных запрашивает сведения о версии таблицы. |
|
unityCatalog |
deltaSharingQueryTable |
Записывается в журнал, когда получатель данных запрашивает общую таблицу. |
|
unityCatalog |
deltaSharingQueryTableChanges |
Записывается в журнал, когда получатель данных запрашивает изменения данных для таблицы. |
|
unityCatalog |
deltaSharingQueriedTable |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным") |
|
unityCatalog |
deltaSharingQueriedTableChanges |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным"). |
|
unityCatalog |
deltaSharingListNotebookFiles |
Получатель данных запрашивает список общих файлов записной книжки. |
|
unityCatalog |
deltaSharingQueryNotebookFile |
Получатель данных запрашивает общий файл записной книжки. |
|
unityCatalog |
deltaSharingListFunctions |
Получатель данных запрашивает список функций в родительской схеме. |
|
unityCatalog |
deltaSharingListAllFunctions |
Получатель данных запрашивает список всех общих функций. |
|
unityCatalog |
deltaSharingListFunctionVersions |
Получатель данных запрашивает список версий функций. |
|
unityCatalog |
deltaSharingListVolumes |
Получатель данных запрашивает список совместно используемых томов в схеме. |
|
unityCatalog |
deltaSharingListAllVolumes |
Получатель данных запрашивает все предоставленные тома. |
|
unityCatalog |
updateMetastore |
Поставщик обновляет хранилище метаданных. |
|
unityCatalog |
createRecipient |
Поставщик создает получателя данных. |
|
unityCatalog |
deleteRecipient |
Поставщик удаляет получателя данных. |
|
unityCatalog |
getRecipient |
Поставщик запрашивает сведения о получателе данных. |
|
unityCatalog |
listRecipients |
Поставщик запрашивает список всех получателей данных. | ничего |
unityCatalog |
rotateRecipientToken |
Поставщик обновляет токен получателя. |
|
unityCatalog |
updateRecipient |
Поставщик обновляет атрибуты получателя данных. |
|
unityCatalog |
createShare |
Поставщик обновляет атрибуты получателя данных. |
|
unityCatalog |
deleteShare |
Поставщик обновляет атрибуты получателя данных. |
|
unityCatalog |
getShare |
Поставщик запрашивает информацию о доле. |
|
unityCatalog |
updateShare |
Поставщик добавляет или удаляет ресурсы данных из совместного использования. |
|
unityCatalog |
listShares |
Поставщик запрашивает список своих акций. | ничего |
unityCatalog |
getSharePermissions |
Поставщик просит предоставить информацию о разрешениях доступа к ресурсу. |
|
unityCatalog |
updateSharePermissions |
Провайдер обновляет права доступа ресурса. |
|
unityCatalog |
getRecipientSharePermissions |
Поставщик запрашивает сведения о разрешениях общего доступа получателя. |
|
unityCatalog |
getActivationUrlInfo |
Поставщик запрашивает сведения об активности по ссылке активации. |
|
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются для получателя, чтобы получить доступ к разделяемому тому. |
|
unityCatalog |
generateTemporaryTableCredential |
Временные учетные данные создаются для получателя для доступа к общей таблице. |
|
События для получателей Delta Sharing
Следующие события регистрируются в учетной записи получателя данных. Эти события записывают доступ получателя к общим данным и ресурсам ИИ, а также события, связанные с управлением поставщиками. Каждое из этих событий также включает следующие параметры запроса:
-
recipient_name: имя получателя в системе поставщика данных. -
metastore_id: имя хранилища метаданных в системе поставщика данных. -
sourceIPAddress: IP-адрес, в котором был создан запрос.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Получатель данных запрашивает сведения о версии общей таблицы. |
|
unityCatalog |
deltaSharingProxyGetTableMetadata |
Получатель данных запрашивает сведения о метаданных общей таблицы. |
|
unityCatalog |
deltaSharingProxyQueryTable |
Получатель данных запрашивает общую таблицу. |
|
unityCatalog |
deltaSharingProxyQueryTableChanges |
Получатель данных запрашивает изменения данных для таблицы. |
|
unityCatalog |
createProvider |
Получатель данных создает объект поставщика. |
|
unityCatalog |
updateProvider |
Получатель данных обновляет объект поставщика. |
|
unityCatalog |
deleteProvider |
Получатель данных удаляет объект поставщика. |
|
unityCatalog |
getProvider |
Получатель данных запрашивает сведения о объекте поставщика. |
|
unityCatalog |
listProviders |
Получатель данных запрашивает список поставщиков. | ничего |
unityCatalog |
activateProvider |
Получатель данных активирует объект поставщика. |
|
unityCatalog |
listProviderShares |
Получатель данных запрашивает список акций поставщика. |
|
Дополнительные события мониторинга безопасности
Для вычислительных ресурсов Azure Databricks в классической плоскости вычислений, таких как виртуальные машины для кластеров и классических хранилищ SQL, следующие функции позволяют использовать дополнительные агенты мониторинга:
- Расширенный мониторинг безопасности
- Профиль безопасности соответствия.
События мониторинга целостности файлов
capsule8-alerts-dataplane Следующие события регистрируются на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Регулярное событие для подтверждения того, что монитор включен. В настоящее время выполняется каждые 10 минут. |
|
capsule8-alerts-dataplane |
Memory Marked Executable |
Память часто помечается исполняемой, чтобы разрешить вредоносному коду выполняться при уязвимости приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложноположительным результатам для определенных серверов приложений. |
|
capsule8-alerts-dataplane |
File Integrity Monitor |
Отслеживает целостность важных системных файлов. Оповещения о любых несанкционированных изменениях этих файлов. Databricks определяет определенные наборы системных путей на изображении, и этот набор путей может измениться со временем. |
|
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещает каждый раз, когда модульный systemd файл изменяется программой, отличной от systemctlпрограммы. |
|
capsule8-alerts-dataplane |
Repeated Program Crashes |
Повторяющиеся сбои программы могут указывать на то, что злоумышленник пытается воспользоваться уязвимостью повреждения памяти или возникла проблема стабильности в затронутом приложении. Оповещения при сбое более 5 экземпляров отдельной программы из-за ошибки сегментации. |
|
capsule8-alerts-dataplane |
Userfaultfd Usage |
Как правило, контейнеры являются статическими рабочими нагрузками, и это оповещение может указывать на то, что злоумышленник скомпрометировал контейнер и пытается установить и запустить бэкдор. Оповещения, когда файл, созданный или измененный в течение 30 минут, затем выполняется в контейнере. |
|
capsule8-alerts-dataplane |
New File Executed in Container |
Память часто помечается исполняемой, чтобы разрешить вредоносному коду выполняться при уязвимости приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложноположительным результатам для определенных серверов приложений. |
|
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Интерактивные оболочки являются редким явлением в современной эксплуатационной инфраструктуре. Оповещения при запуске интерактивной оболочки с аргументами, часто используемыми для обратных оболочк. |
|
capsule8-alerts-dataplane |
User Command Logging Evasion |
Уклонение от ведения журнала команд является обычной практикой для злоумышленников, но может также указывать на то, что законный пользователь выполняет несанкционированные действия или пытается обойти политику. Оповещения при обнаружении изменений в настройках ведения журнала команд пользователя, указывающие на то, что пользователь пытается избежать фиксации своих команд. |
|
capsule8-alerts-dataplane |
BPF Program Executed |
Обнаруживает некоторые типы бэкдоров в ядре. Загрузка новой программы фильтра пакетов Berkeley (BPF) может указывать на то, что злоумышленник загружает коркит на основе BPF, чтобы получить сохраняемость и избежать обнаружения. Оповещения появляются при загрузке процессом новой привилегированной программы BPF, если этот процесс уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Kernel Module Loaded |
Злоумышленники обычно загружают модули вредоносного ядра (rootkits), чтобы избежать обнаружения и поддержания сохраняемости на скомпрометированном узле. Оповещения при загрузке модуля ядра, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Злоумышленники могут создавать или переименовать вредоносные двоичные файлы, чтобы включить пространство в конце имени в попытке олицетворить законную системную программу или службу. Оповещает, когда программа выполняется с пробелом после имени программы. |
|
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Эксплойты повышения привилегий ядра обычно позволяют непривилегированного пользователя получать корневые привилегии без передачи стандартных шлюзов для изменений привилегий. Оповещения, когда программа пытается повысить привилегии с помощью необычных средств. Это может выдавать ложные положительные оповещения на узлах со значительными рабочими нагрузками. |
|
capsule8-alerts-dataplane |
Kernel Exploit |
Внутренние функции ядра недоступны для обычных программ, и при вызове являются сильным индикатором выполнения эксплойта ядра и что злоумышленник имеет полный контроль над узлом. Оповещения, когда функция ядра неожиданно возвращается в пользовательское пространство. |
|
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP и SMAP — это защита на уровне процессора, которая повышает трудности для успешного выполнения эксплойтов ядра, и отключение этих ограничений является общим шагом в эксплойтах ядра. Оповещения, когда программа вмешивается в конфигурацию SMEP/SMAP ядра. |
|
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Выдаются оповещения, когда программа использует функции ядра, часто применяемые в эксплойтах для выхода из контейнеров, указывая на то, что злоумышленник повышает привилегии с доступа к контейнерам до доступа к узлу. |
|
capsule8-alerts-dataplane |
Privileged Container Launched |
Привилегированные контейнеры имеют прямой доступ к ресурсам хост-системы, что приводит к большему риску при компрометации. Предупреждения при запуске привилегированного контейнера, если контейнер не относится к известным привилегированным образам, таким как kube-proxy. Это может выдавать нежелательные оповещения для законных привилегированных контейнеров. |
|
capsule8-alerts-dataplane |
Userland Container Escape |
Многие методы побега из контейнера заставляют хост выполнить двоичный файл в контейнере, что приводит к тому, что злоумышленник получает полный контроль над затронутым узлом. Оповещения, когда файл, создан в контейнере, исполняется извне контейнера. |
|
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
Изменение определенных атрибутов AppArmor может происходить только в ядре, указывая, что AppArmor был отключен эксплойтом ядра или rootkit. Оповещения, когда состояние AppArmor изменяется по сравнению с конфигурацией AppArmor, обнаруженной на момент запуска датчика. |
|
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Злоумышленники могут попытаться отключить применение профилей AppArmor, чтобы избежать обнаружения. Оповещения при выполнении команды для изменения профиля AppArmor, если она не была выполнена пользователем в сеансе SSH. |
|
capsule8-alerts-dataplane |
Boot Files Modified |
Если модификация не выполнена доверенным источником (например, диспетчером пакетов или средством управления конфигурацией), изменение загрузочных файлов может указывать на злоумышленника, изменяющего ядро или его параметры, чтобы получить постоянный доступ к хосту. Оповещения при внесении изменений в файлы, /bootуказывающие на установку нового ядра или конфигурации загрузки. |
|
capsule8-alerts-dataplane |
Log Files Deleted |
Удаление журналов, не выполняемое средством управления журналами, может указать, что злоумышленник пытается удалить индикаторы компрометации. Оповещения об удалении файлов системного журнала. |
|
capsule8-alerts-dataplane |
New File Executed |
Недавно созданные файлы из источников, отличных от системных программ обновления, могут быть бекдорами, эксплойтами ядра или частью цепочки эксплуатации. Оповещения срабатывают, когда файл, созданный или изменённый в течение 30 минут, затем запускается, за исключением файлов, созданных программами обновления системы. |
|
capsule8-alerts-dataplane |
Root Certificate Store Modified |
Изменение корневого хранилища сертификатов может указывать на установку нелегального центра сертификации, что позволяет перехватывать сетевой трафик или обходить проверку подписи кода. Оповещения при изменении хранилища сертификатов центра сертификации системы. |
|
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Настройка setuid/setgid бит может использоваться для постоянной эскалации привилегий на узле. Предупреждает, когда бит setuid или setgid установлен в файле с использованием семейства системных вызовов chmod. |
|
capsule8-alerts-dataplane |
Hidden File Created |
Злоумышленники часто создают скрытые файлы в качестве средства скрытия средств и полезных данных на скомпрометированном узле. Оповещения при создании скрытого файла процессом, связанным с текущим инцидентом. |
|
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Злоумышленники могут изменять системные служебные программы для выполнения вредоносных полезных данных при каждом запуске этих служебных программ. Оповещения при модификации общей системной утилиты несанкционированным процессом. |
|
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Злоумышленник или недобросовестный пользователь может использовать или установить эти программы для сканирования подключенных сетей с целью компрометации дополнительных узлов. Оповещения при запуске общих инструментов программ для сканирования сети. |
|
capsule8-alerts-dataplane |
Network Service Created |
Злоумышленники могут запустить новую сетевую службу, чтобы обеспечить простой доступ к узлу после компрометации. Оповещения, когда программа запускает новую сетевую службу, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Злоумышленник или недобросовестный пользователь может выполнять команды по прослушиванию сети для перехвата учетных данных, персональной информации (PII) или других конфиденциальных данных. Оповещения при выполнении программы, которая позволяет записывать сеть. |
|
capsule8-alerts-dataplane |
Remote File Copy Detected |
Использование средств передачи файлов может указывать на то, что злоумышленник пытается переместить наборы инструментов на дополнительные узлы или эксфильтровать данные в удаленную систему. Оповещения при выполнении программы, связанной с удаленным копированием файлов, если программа уже входит в текущий инцидент. |
|
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Каналы командования и управления и криптомайнеры часто создают новые исходящие подключения к сети на необычных портах. Оповещения о том, что программа инициирует новое подключение не на типичном порту, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Data Archived Via Program |
После получения доступа к системе злоумышленник может создать сжатый архив файлов, чтобы уменьшить размер данных для кражи. Оповещения при выполнении программы сжатия данных, если программа уже входит в текущий инцидент. |
|
capsule8-alerts-dataplane |
Process Injection |
Использование методов внедрения в процессы обычно указывает на то, что пользователь отлаживает программу, но также может свидетельствовать о том, что злоумышленник считывает секреты из других процессов или внедряет код в них. Оповещения появляются, когда программа использует отладочные механизмы для взаимодействия с другим процессом. |
|
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Злоумышленники часто используют программы перечисления учетных записей, чтобы определить уровень доступа и узнать, вошли ли другие пользователи в узел. Оповещения при выполнении программы, связанной с перечислением учетных записей, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Изучение файловых систем является распространенным поведением злоумышленников после проникновения, ищущих учетные данные и представляющие интерес данные. Оповещения при выполнении программы, связанной с перечислением файлов и каталогов, если программа уже входит в текущий инцидент. |
|
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Злоумышленники могут опрашивать локальную сеть и анализировать данные о маршрутах для выявления смежных узлов и сетей перед боковым движением. Оповещения при выполнении программы, связанной с перечислением конфигурации сети, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Злоумышленники часто перечисляют запущенные программы, чтобы определить назначение узла и выяснить наличие каких-либо средств безопасности или мониторинга. Оповещения при выполнении программы, связанной с перечислением процессов, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Злоумышленники обычно выполняют команды перечисления системы для определения версий ядра Linux и дистрибутива, часто чтобы выяснить, подвержен ли узел определенным уязвимостям. Оповещения при выполнении программы, связанной с перечислением системных сведений, если программа уже является частью текущего инцидента. |
|
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
Изменение запланированных задач — это распространенный метод для установления сохраняемости на скомпрометированном узле. Оповещения, когда команды crontab, at или batch используются для изменения конфигураций задач по расписанию. |
|
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещения, когда systemctl команда используется для изменения системных единиц. |
|
capsule8-alerts-dataplane |
User Execution Of su Command |
Явная эскалация для корневого пользователя уменьшает возможность корреляции привилегированных действий с конкретным пользователем. Оповещения при выполнении команды su. |
|
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Оповещения при выполнении команды sudo. |
|
capsule8-alerts-dataplane |
User Command History Cleared |
Удаление файла истории является необычной практикой, которую часто используют злоумышленники для сокрытия активности или законные пользователи, стремящиеся избежать аудиторских проверок. Оповещения при удалении файлов журнала командной строки. |
|
capsule8-alerts-dataplane |
New System User Added |
Злоумышленник может добавить нового пользователя на узел, чтобы предоставить надежный метод доступа. Оповещает, если новая сущность пользователя добавляется в файл управления локальными учетными записями /etc/passwd, если сущность не добавляется программой обновления системы. |
|
capsule8-alerts-dataplane |
Password Database Modification |
Злоумышленники могут напрямую изменять файлы, связанные с удостоверениями, чтобы добавить нового пользователя в систему. Оповещения при изменении файла, связанного с паролями пользователей, программой, не связанной с обновлением существующих сведений о пользователе. |
|
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Добавление нового открытого ключа SSH — это распространенный метод для получения постоянного доступа к скомпрометированному узлу. Уведомления появляются при попытке записи в SSH-файл authorized_keys пользователя, если это действие уже связано с текущим инцидентом. |
|
capsule8-alerts-dataplane |
User Account Created Via CLI |
Добавление нового пользователя — это распространенный шаг для злоумышленников при установке сохраняемости на скомпрометированном узле. Предупреждения, когда программа управления удостоверениями запускается программой, отличающейся от диспетчера пакетов. |
|
capsule8-alerts-dataplane |
User Configuration Changes |
Удаление файла истории является необычной практикой, которую часто используют злоумышленники для сокрытия активности или законные пользователи, стремящиеся избежать аудиторских проверок. Оповещения при удалении файлов журнала командной строки. |
|
capsule8-alerts-dataplane |
New System User Added |
Файлы профилей пользователей и конфигурации часто изменяются как метод сохраняемости, чтобы выполнять программу всякий раз, когда пользователь входит в систему. Оповещения при изменении .bash_profile и bashrc (а также связанных файлов) программой, отличной от средства обновления системы. |
|
Антивирусные события мониторинга
Примечание.
Объект response JSON в этих журналах аудита всегда имеет result поле, включающее одну строку исходного результата сканирования. Каждый результат сканирования обычно представлен несколькими записями журнала аудита, по одной для каждой строки исходного вывода сканирования. Дополнительные сведения о том, что может появиться в этом файле, см. в следующей сторонней документации.
clamAVScanService-dataplane Следующее событие регистрируется на уровне рабочей области.
| Сервис | Действие | Описание | Параметры запроса |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Антивирусная программа мониторинга выполняет проверку. Журнал будет создаваться для каждой строки исходного вывода сканирования. |
|
Устаревшие события журнала
Databricks объявил устаревшими следующие databrickssql диагностические события:
-
createAlertDestination(сейчасcreateNotificationDestination) -
deleteAlertDestination(сейчасdeleteNotificationDestination) -
updateAlertDestination(сейчасupdateNotificationDestination) muteAlertunmuteAlert
Логи конечных точек SQL
Если вы создаете хранилища SQL с помощью устаревшего API конечной точки SQL (прежнее имя для хранилищ SQL), соответствующее имя события аудита будет содержать слово Endpoint вместо Warehouseэтого. Кроме имени, эти события идентичны событиям хранилища SQL. Чтобы просмотреть описания и параметры запроса этих событий, см. соответствующие события хранилища в событиях Databricks SQL.
События конечной точки SQL следующие:
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig