诊断日志参考

注意

此功能需要高级计划

本文提供了审核日志服务和事件的综合参考。 这些服务的可用性取决于你如何访问日志:

  • 审核日志系统表记录本文列出的所有事件和服务。
  • Azure Monitor 的诊断设置服务不会记录所有这些服务。 Azure 的诊断设置中不可用的服务会相应地进行标记。

注意

Azure Databricks 保留审核日志的副本最多 1 年,以便进行安全和欺诈分析。

诊断日志服务

默认情况下,诊断日志中记录以下服务及其事件。

注意

工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure 诊断日志不包括帐户级别事件。

工作区级服务

服务名称 说明
accounts 与帐户、用户、组和 IP 访问列表相关的事件。
clusters 与群集相关的事件。
clusterPolicies 与群集策略相关的事件。
dashboards 与 AI/BI 仪表板使用相关的事件。
databrickssql DATABRICKS SQL 使用方面的事件。
dataMonitoring Lakehouse 监视相关的事件。
dbfs DBFS 相关的事件。
deltaPipelines 增量实时表管道相关的事件。
featureStore Databricks 特征存储相关的事件。
filesystem 与文件管理相关的事件,包括使用文件 API 或卷 UI 与文件交互。
genie 与支持人员访问工作区相关的事件。 与 AI/BI Genie 空间无关。
gitCredentials Databricks Git 文件夹的 Git 凭据相关的事件。 另请参阅 repos
globalInitScripts 与全局初始化脚本相关的事件。
与帐户和工作区组相关的事件。
iamRole 与 IAM 角色权限相关的事件。
引入 与文件上传相关的事件。
instancePools 相关的事件。
jobs 与作业相关的事件。
marketplaceConsumer 与 Databricks 市场中的使用者操作相关的事件。
marketplaceProvider 与 Databricks 市场中的提供者操作相关的事件。
mlflowAcledArtifact 与 ACL ML 流项目相关的事件。
mlflowExperiment 与 ML 流试验相关的事件。
modelRegistry 与模型注册表相关的事件。
笔记本 与笔记本相关的事件。
partnerConnect Partner Connect 相关的事件。
predictiveOptimization 预测性优化相关的事件。
remoteHistoryService 与添加删除 GitHub 凭据相关的事件。
repos Databricks Git 文件夹相关的事件。 另请参阅 gitCredentials
机密 机密相关的事件。
serverlessRealTimeInference 模型服务相关的事件。
sqlPermissions 与旧版 Hive 元存储表访问控制相关的事件。
ssh SSH 访问相关的事件。
vectorSearch 与矢量搜索相关的事件。
webTerminal Web 终端功能相关的事件。
工作区 与工作区相关的事件。

帐户级服务

帐户级审核日志可用于以下服务:

服务名称 说明
accountBillableUsage 与帐户控制台中的计费使用量访问相关的操作。
accountsAccessControl 与帐户级访问控制规则相关的操作。
accountsManager 与网络连接配置相关的操作。
budgetPolicyCentral 与管理 预算策略相关的操作。
unityCatalog 在 Unity 目录中执行的操作。 这包括增量共享事件,请参阅增量共享事件

其他安全监视服务

对于使用合规性安全配置文件(FedRAMP、PCI 和 HIPAA 等合规性标准需要这样的文件)或增强型安全监视的工作区,还有其他服务和关联操作。

这些是工作区级服务,只有当使用合规性安全配置文件或增强的安全监视时,才会在日志中生成:

服务名称 说明
capsule8-alerts-dataplane 与文件完整性监视相关的操作。
clamAVScanService-dataplane 与防病毒监视相关的操作。

诊断日志示例架构

在 Azure Databricks 中,诊断日志以 JSON 格式输出事件。 在 Azure Databricks 中,审核日志以 JSON 格式输出事件。 serviceNameactionName 属性标识事件。 命名约定遵循 Databricks REST API

以下 JSON 示例是用户创建作业时记录的事件的示例:

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

诊断日志架构注意事项

  • 如果操作花费很长时间,则会单独记录请求和响应,但请求和响应对具有相同的 requestId
  • 自动化操作(例如,由于自动缩放而重设群集大小,或由于调度而启动作业)由用户 System-User 执行。
  • 字段 requestParams 可能会截断。 如果其 JSON 表示形式的大小超过 100 KB,则值会截断,字符串 ... truncated 会追加到截断的条目。 在截断的映射仍大于 100 KB 的极少数情况下,会改为存在具有空值的单个 TRUNCATED 键。

帐户事件

以下是在工作区级别记录的accounts事件。

服务 操作 说明 请求参数
accounts activateUser 在停用用户后将其重新激活。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts aadBrowserLogin 用户使用 Microsoft Entra ID 浏览器工作流登录到 Databricks。 - user
accounts aadTokenLogin 用户通过 Microsoft Entra ID 令牌登录到 Databricks。 - user
accounts accountInHouseOAuthClientAuthentication OAuth 客户端已经过身份验证。 - endpoint
accounts activateUser 管理员将用户从 Azure 门户添加到 Databricks 帐户。 - warehouse
- targetUserName
- targetUserId
accounts add 用户已添加到 Azure Databricks 工作区。 - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup 用户已添加到工作区级别组。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts changeDatabricksSqlAcl 用户的 Databricks SQL 权限已发生更改。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDatabricksWorkspaceAcl 对工作区的权限已发生更改。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDbTokenAcl 更改令牌的权限时。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeServicePrincipalAcls 更改服务主体的权限时。 - shardName
- targetServicePrincipal
- resourceId
- aclPermissionSet
accounts createGroup 已创建工作区级别组。 - endpoint
- targetGroupId
- targetGroupName
accounts createIpAccessList IP 访问列表已添加到工作区。 - ipAccessListId
- userId
accounts deactivateUser 在工作区中停用用户。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts delete 已从 Azure Databricks 工作区中删除用户。 - targetUserId
- targetUserName
- endpoint
accounts deleteIpAccessList 已从工作区中删除 IP 访问列表。 - ipAccessListId
- userId
accounts garbageCollectDbToken 用户对过期的令牌运行垃圾回收命令。 - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken 当某人从“用户设置”生成令牌时,或者当服务生成令牌时。 - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts IpAccessDenied 用户尝试通过被拒绝的 IP 连接到服务。 - path
- userName
accounts ipAccessListQuotaExceeded - userId
accounts jwtLogin 用户使用 JWT 登录到 Databricks。 - user
accounts login 用户登录到工作区。 - user
accounts logout 用户从工作区中注销。 - user
accounts oidcTokenAuthorization 通过通用 OIDC/OAuth 令牌授权 API 调用时。 - user
accounts passwordVerifyAuthentication - user
accounts reachMaxQuotaDbToken 当前未过期的令牌数超过令牌配额时
accounts removeAdmin 用户被撤销工作区管理员权限。 - targetUserName
- endpoint
- targetUserId
accounts removeGroup 已从工作区中移除组。 - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup 已从组中移除用户。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts revokeDbToken 从工作区中删除用户的令牌。 可以因从 Databricks 帐户中删除用户而触发。 - userId
accounts setAdmin 用户被授予帐户管理员权限。 - endpoint
- targetUserName
- targetUserId
accounts tokenLogin 用户使用令牌登录到 Databricks。 - tokenId
- user
accounts updateIpAccessList IP 访问列表已发生更改。 - ipAccessListId
- userId
accounts updateUser 对用户的帐户进行了更改。 - warehouse
- targetUserName
- targetUserId
accounts validateEmail 当用户在创建帐户后验证其电子邮件时。 - endpoint
- targetUserName
- targetUserId

群集事件

以下是在工作区级别记录的cluster事件。

服务 操作 说明 请求参数
clusters changeClusterAcl 用户更改群集 ACL。 - shardName
- aclPermissionSet
- targetUserId
- resourceId
clusters create 用户创建群集。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters createResult 群集创建结果。 与 create 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters delete 群集已终止。 - cluster_id
clusters deleteResult 群集终止结果。 与 delete 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters edit 用户对群集设置进行更改。 这会记录除群集大小更改或自动缩放行为更改之外的所有更改。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters permanentDelete 已从用户界面中删除群集。 - cluster_id
clusters resize 重设群集大小。 这会记录在正在运行的群集上,其中唯一更改的属性是群集大小或自动缩放行为。 - cluster_id
- num_workers
- autoscale
clusters resizeResult 重设群集大小的结果。 与 resize 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters restart 用户重启正在运行的群集。 - cluster_id
clusters restartResult 群集重启的结果。 与 restart 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters start 用户启动群集。 - init_scripts_safe_mode
- cluster_id
clusters startResult 群集启动结果。 与 start 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId

群集库事件

以下是在工作区级别记录的clusterLibraries事件。

服务 操作 说明 请求参数
clusterLibraries installLibraries 用户在群集上安装库。 - cluster_id
- libraries
clusterLibraries uninstallLibraries 用户卸载群集上的库。 - cluster_id
- libraries
clusterLibraries installLibraryOnAllClusters 工作区管理员计划在所有群集上安装库。 - user
- library
clusterLibraries uninstallLibraryOnAllClusters 工作区管理员从列表中移除要安装在所有群集上的库。 - user
- library

群集策略事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下是在工作区级别记录的clusterPolicies事件。

服务 操作 说明 请求参数
clusterPolicies create 用户创建了群集策略。 - name
clusterPolicies edit 用户编辑了群集策略。 - policy_id
- name
clusterPolicies delete 用户删除了群集策略。 - policy_id
clusterPolicies changeClusterPolicyAcl 工作区管理员更改群集策略的权限。 - shardName
- targetUserId
- resourceId
- aclPermissionSet

仪表板事件

以下是在工作区级别记录的dashboards事件。

服务 操作 说明 请求参数
dashboards getDashboard 用户通过以下方式访问仪表板的草稿版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 只有工作区用户可以访问仪表板的草稿版本。 - dashboard_id
dashboards getPublishedDashboard 用户通过以下方式访问仪表板的已发布版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 包括工作区用户和帐户用户的活动。 不包括使用计划电子邮件接收仪表板的 PDF 快照。 - dashboard_id
- credentials_embedded
dashboards executeQuery 用户从仪表板执行查询。 - dashboard_id
- statement_id
dashboards cancelQuery 用户从仪表板取消查询。 - dashboard_id
- statement_id
dashboards getQueryResult 用户从仪表板接收查询结果。 - dashboard_id
- statement_id
dashboards sendDashboardSnapshot 仪表板的 PDF 快照是通过计划的电子邮件发送的。

请求参数值取决于接收者的类型。 对于 Databricks 通知目标,仅显示 destination_id。 对于 Databricks 用户,显示订阅者的用户 ID 和电子邮件地址。 如果接收者是电子邮件地址,则仅显示电子邮件地址。
- dashboard_id
- subscriber_destination_id
- subscriber_user_details: {

user_id,

email_address }
dashboards getDashboardDetails 用户访问草稿仪表板的详细信息,例如数据集和小组件。 当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时,始终会发出 getDashboardDetails - dashboard_id
dashboards createDashboard 用户使用 UI 或 API 创建新的 AI/BI 仪表板。 - dashboard_id
dashboards updateDashboard 用户使用 UI 或 API 更新 AI/BI 仪表板。 - dashboard_id
dashboards cloneDashboard 用户克隆 AI/BI 仪表板。 - source_dashboard_id
- new_dashboard_id
dashboards publishDashboard 用户使用 UI 或 API 在提供或不提供嵌入凭据的情况下发布 AI/BI 仪表板。 - dashboard_id
- credentials_embedded
- warehouse_id
dashboards unpublishDashboard 用户使用 UI 或 API 取消发布已发布的 AI/BI 仪表板。 - dashboard_id
dashboards trashDashboard 用户使用 UI 或 API 移动 AI/BI 仪表板。 - dashboard_id
dashboards restoreDashboard 用户从回收站还原 AI/BI 仪表板。 - dashboard_id
dashboards migrateDashboard 用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。 - source_dashboard_id
- new_dashboard_id
dashboards createSchedule 用户创建电子邮件订阅计划。 - dashboard_id
- schedule_id
dashboards updateSchedule 用户更新 AI/BI 仪表板的计划。 - dashboard_id
- schedule_id
dashboards deleteSchedule 用户删除 AI/BI 仪表板的计划。 - dashboard_id
- schedule_id
dashboards createSubscription 用户为电子邮件目标订阅 AI/BI 仪表板计划。 - dashboard_id
- schedule_id
- schedule
dashboards deleteSubscription 用户从 AI/BI 仪表板计划中删除电子邮件目标。 - dashboard_id
- schedule_id

Databricks SQL 事件

以下是在工作区级别记录的databrickssql事件。

注意

如果使用旧版 SQL 终结点 API 管理 SQL 仓库,SQL 仓库审核事件将具有不同的操作名称。 请参阅 SQL 终结点日志

服务 操作 说明 请求参数
databrickssql addDashboardWidget 小组件已添加到仪表板。 - dashboardId
- widgetId
databrickssql cancelQueryExecution 从 SQL 编辑器 UI 取消查询执行。 这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。 - queryExecutionId
databrickssql changeWarehouseAcls 仓库管理员更新对 SQL 仓库的权限。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
databrickssql changePermissions 用户更新对对象的权限。 - granteeAndPermission
- objectId
- objectType
databrickssql cloneDashboard 用户克隆仪表板。 - dashboardId
databrickssql commandSubmit 仅在详细的审核日志中。 在命令提交到 SQL 仓库时生成,无论请求的来源如何。 - warehouseId
- commandId
- validation
- commandText
databrickssql commandFinish 仅在详细的审核日志中。 在 SQL 仓库上的命令完成或取消时生成,无论取消请求的来源如何。 - warehouseId
- commandId
databrickssql createAlert 用户创建警报。 - alertId
databrickssql createNotificationDestination 工作区管理员创建通知目标。 - notificationDestinationId
- notificationDestinationType
databrickssql createDashboard 用户创建仪表板。 - dashboardId
databrickssql createDataPreviewDashboard 用户创建数据预览仪表板。 - dashboardId
databrickssql createWarehouse 具有群集创建权利的用户创建 SQL 仓库。 - auto_resume
- auto_stop_mins
- channel
- cluster_size
- conf_pairs
- custom_cluster_confs
- enable_databricks_compute
- enable_photon
- enable_serverless_compute
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- size
- spot_instance_policy
- tags
- test_overrides
databrickssql createQuery 用户新建查询。 - queryId
databrickssql createQueryDraft 用户创建查询草稿。 - queryId
databrickssql createQuerySnippet 用户创建查询片段。 - querySnippetId
databrickssql createSampleDashboard 用户创建示例仪表板。 - sampleDashboardId
databrickssql createVisualization 用户使用 SQL 编辑器生成可视化效果。 排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。 - queryId
- visualizationId
databrickssql deleteAlert 用户通过警报界面或 API 删除警报。 从文件浏览器 UI 中排除删除项。 - alertId
databrickssql deleteNotificationDestination 工作区管理员删除通知目标。 - notificationDestinationId
databrickssql deleteDashboard 用户通过仪表板界面或 API 删除仪表板。 通过文件浏览器 UI 排除删除项。 - dashboardId
databrickssql deleteDashboardWidget 用户删除仪表板小组件。 - widgetId
databrickssql deleteWarehouse 仓库管理员删除 SQL 仓库。 - id
databrickssql deleteQuery 用户通过查询界面或 API 删除查询。 通过文件浏览器 UI 排除删除项。 - queryId
databrickssql deleteQueryDraft 用户删除查询草稿。 - queryId
databrickssql deleteQuerySnippet 用户删除查询片段。 - querySnippetId
databrickssql deleteVisualization 用户从 SQL 编辑器的查询中删除可视化效果。 - visualizationId
databrickssql downloadQueryResult 用户从 SQL 编辑器下载查询结果。 从仪表板中排除下载项。 - fileType
- queryId
- queryResultId
- credentialsEmbedded
- credentialsEmbeddedId
databrickssql editWarehouse 仓库管理员编辑 SQL 仓库。 - auto_stop_mins
- channel
- cluster_size
- confs
- enable_photon
- enable_serverless_compute
- id
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- spot_instance_policy
- tags
databrickssql executeAdhocQuery 由下列项之一生成:

- 用户在 SQL 编辑器中运行查询草稿
- 从可视化效果聚合执行查询
- 用户加载仪表板并执行基础查询
- dataSourceId
databrickssql executeSavedQuery 用户运行保存的查询。 - queryId
databrickssql executeWidgetQuery 由执行查询以刷新仪表板面板的任何事件生成。 适用事件的一些示例包括:

- 刷新单个面板
- 刷新整个仪表板
- 计划的仪表板执行
- 参数或筛选器对超过 64,000 行的内容运行的更改
- widgetId
databrickssql favoriteDashboard 用户收藏仪表板。 - dashboardId
databrickssql favoriteQuery 用户收藏查询。 - queryId
databrickssql forkQuery 用户克隆查询。 - originalQueryId
- queryId
databrickssql listQueries 用户打开查询列表页或调用列表查询 API。 - filter_by
- include_metrics
- max_results
- page_token
databrickssql moveAlertToTrash 用户将警报移动到回收站。 - alertId
databrickssql moveDashboardToTrash 用户将仪表板移动到回收站。 - dashboardId
databrickssql moveQueryToTrash 用户将查询移动到回收站。 - queryId
databrickssql restoreAlert 用户从回收站还原警报。 - alertId
databrickssql restoreDashboard 用户从回收站还原仪表板。 - dashboardId
databrickssql restoreQuery 用户从回收站还原查询。 - queryId
databrickssql setWarehouseConfig 仓库管理员设置 SQL 仓库的配置。 - data_access_config
- enable_serverless_compute
- instance_profile_arn
- security_policy
- serverless_agreement
- sql_configuration_parameters
- try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard 用户请求仪表板的快照。 包括计划的仪表板快照。 - dashboardId
databrickssql startWarehouse SQL 仓库已启动。 - id
databrickssql stopWarehouse 仓库管理员停止 SQL 仓库。 排除自动停止的仓库。 - id
databrickssql transferObjectOwnership 工作区管理员通过转移对象所有权 API,将仪表板、查询或警报的所有权转让给活动用户。 此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。 - newOwner
- objectId
- objectType
databrickssql unfavoriteDashboard 用户从其收藏夹中移除仪表板。 - dashboardId
databrickssql unfavoriteQuery 用户从其收藏夹中移除查询。 - queryId
databrickssql updateAlert 用户对警报进行更新。 如果使用 API 转移警报所有权,则会填充 ownerUserName - alertId
- queryId
- ownerUserName
databrickssql updateNotificationDestination 工作区管理员对通知目标进行更新。 - notificationDestinationId
databrickssql updateDashboardWidget 用户对仪表板小组件进行更新。 排除对轴刻度的更改。 适用更新的示例包括:

- 对小组件大小或放置的更改
- 添加或删除小组件参数
- widgetId
databrickssql updateDashboard 用户对仪表板属性进行更新。 排除对计划和订阅的更改。 适用更新的示例包括:

- 仪表板名称更改
- 对 SQL 仓库的更改
- 对“运行方式”设置的更改
- dashboardId
databrickssql updateOrganizationSetting 工作区管理员对工作区的 SQL 设置进行更新。 - has_configured_data_access
- has_explored_sql_warehouses
- has_granted_permissions
databrickssql updateQuery 用户对查询进行更新。 如果使用 API 转移查询所有权,则会填充 ownerUserName - queryId
- ownerUserName
databrickssql updateQueryDraft 用户对查询草稿进行更新。 - queryId
databrickssql updateQuerySnippet 用户对查询片段进行更新。 - querySnippetId
databrickssql updateVisualization 用户从 SQL 编辑器或仪表板更新可视化效果。 - visualizationId

数据监视事件

以下dataMonitoring事件在工作区级别记录。

服务 操作 说明 请求参数
dataMonitoring CreateMonitor 用户创建监视器。 - data_classification_config
- full_table_name_arg
- assets_dir
- schedule
- output_schema_name
- notifications
- inference_log
dataMonitoring UpdateMonitor 用户对监视器进行更新。 - data_classification_config
- table_name
- full_table_name_arg
- drift_metrics_table_name
- dashboard_id
- custom_metrics
- assets_dir
- monitor_version
- profile_metrics_table_name
- baseline_table_name
- status
- output_schema_name
- inference_log
- slicing_exprs
dataMonitoring DeleteMonitor 用户删除监视器。 - full_table_name_arg
dataMonitoring RunRefresh 按计划刷新或手动刷新监视器。 - full_table_name_arg

DBFS 事件

下表包括在工作区级别记录的dbfs事件。

有两种类型的 DBFS 事件:API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 编写时,才会记录以下 DBFS 审核事件。

服务 操作 说明 请求参数
dbfs addBlock 用户将数据块追加到流。 这与 dbfs/create 结合使用,以将数据流式传输到 DBFS。 - handle
- data_length
dbfs create 用户打开流以将文件写入 DBF。 - path
- bufferSize
- overwrite
dbfs delete 用户从 DBF 中删除文件或目录。 - recursive
- path
dbfs mkdirs 用户创建新的 DBFS 目录。 - path
dbfs move 用户在 DBF 中将文件从一个位置移到另一个位置。 - dst
- source_path
- src
- destination_path
dbfs put 用户通过使用多部分表单 POST 将文件上传到 DBF。 - path
- overwrite

DBFS 操作事件

以下 DBFS 审核事件发生在计算平面上。

服务 操作 说明 请求参数
dbfs mount 用户在特定 DBFS 位置创建装入点。 - mountPoint
- owner
dbfs unmount 用户移除特定 DBFS 位置的装入点。 - mountPoint

增量管道事件

服务 操作 说明 请求参数
deltaPipelines changePipelineAcls 用户更改对管道的权限。 - shardId
- targetUserId
- resourceId
- aclPermissionSet
deltaPipelines create 用户创建增量实时表管道。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- dry_run
- id
- libraries
- name
- storage
- target
- channel
- edition
- photon
deltaPipelines delete 用户删除增量实时表管道。 - pipeline_id
deltaPipelines edit 用户编辑增量实时表管道。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- expected_last_modified
- id
- libraries
- name
- pipeline_id
- storage
- target
- channel
- edition
- photon
deltaPipelines startUpdate 用户重启增量实时表管道。 - cause
- full_refresh
- job_task
- pipeline_id
deltaPipelines stop 用户停止增量实时表管道。 - pipeline_id

特征存储事件

以下featureStore事件在工作区级别记录。

服务 操作 说明 请求参数
featureStore addConsumer 使用者已添加到特征存储。 - features
- job_run
- notebook
featureStore addDataSources 数据源已添加到特征表。 - feature_table
- paths, tables
featureStore addProducer 生成者已添加到特征表。 - feature_table
- job_run
- notebook
featureStore changeFeatureTableAcl 特征表中的权限已发生更改。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
featureStore createFeatureTable 已创建特征表。 - description
- name
- partition_keys
- primary_keys
- timestamp_keys
featureStore createFeatures 已在特征表中创建特征。 - feature_table
- features
featureStore deleteFeatureTable 已删除特征表。 - name
featureStore deleteTags 已从特征表中删除标记。 - feature_table_id
- keys
featureStore getConsumers 用户进行调用以获取特征表中的使用者。 - feature_table
featureStore getFeatureTable 用户进行调用以获取特征表。 - name
featureStore getFeatureTablesById 用户进行调用以获取特征表 ID。 - ids
featureStore getFeatures 用户进行调用以获取特征。 - feature_table
- max_results
featureStore getModelServingMetadata 用户进行调用以获取模型服务元数据。 - feature_table_features
featureStore getOnlineStore 用户进行调用以获取在线商店详细信息。 - cloud
- feature_table
- online_table
- store_type
featureStore getTags 用户进行调用以获取特征表的标记。 - feature_table_id
featureStore publishFeatureTable 已发布特征表。 - cloud
- feature_table
- host
- online_table
- port
- read_secret_prefix
- store_type
- write_secret_prefix
featureStore searchFeatureTables 用户搜索特征表。 - max_results
- page_token
- text
featureStore setTags 已将标记添加到特征表。 - feature_table_id
- tags
featureStore updateFeatureTable 已更新特征表。 - description
- name

文件事件

以下filesystem事件在工作区级别记录。

服务 操作 说明 请求参数
filesystem filesGet 用户使用文件 API 或卷 UI 下载文件。 - path
- transferredSize
filesystem filesPut 用户使用文件 API 或卷 UI 上传文件。 - path
- receivedSize
filesystem filesDelete 用户使用文件 API 或卷 UI 删除文件。 - path
filesystem filesHead 用户使用文件 API 或卷 UI 获取有关文件的信息。 - path

Genie 事件

以下genie事件在工作区级别记录。

注意

此服务与 AI/BI Genie 空间无关。

服务 操作 说明 请求参数
genie databricksAccess Databricks 人员有权访问客户环境。 - duration
- approver
- reason
- authType
- user

Git 凭据事件

以下gitCredentials事件在工作区级别记录。

服务 操作 说明 请求参数
gitCredentials getGitCredential 用户获取 git 凭据。 - id
gitCredentials listGitCredentials 用户列出所有 git 凭据
gitCredentials deleteGitCredential 用户删除 git 凭据。 - id
gitCredentials updateGitCredential 用户更新 git 凭据。 - id
- git_provider
- git_username
gitCredentials createGitCredential 用户创建 git 凭据。 - git_provider
- git_username

全局初始化脚本事件

以下globalInitScripts事件在工作区级别记录。

服务 操作 说明 请求参数
globalInitScripts create 工作区管理员创建全局初始化脚本。 - name
- position
- script-SHA256
- enabled
globalInitScripts update 工作区管理员更新全局初始化脚本。 - script_id
- name
- position
- script-SHA256
- enabled
globalInitScripts delete 工作区管理员删除全局初始化脚本。 - script_id

组事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下groups事件在工作区级别记录。 这些操作与旧 ACL 组相关。 有关与帐户级别和工作区级别组相关的操作,请参阅帐户事件帐户级别帐户事件

服务 操作 说明 请求参数
groups addPrincipalToGroup 管理员将用户添加到组。 - user_name
- parent_name
groups createGroup 管理员创建组。 - group_name
groups getGroupMembers 管理员查看组成员。 - group_name
groups getGroups 管理员查看组列表
groups getInheritedGroups 管理员查看继承的组
groups removeGroup 管理员移除组。 - group_name

IAM 角色事件

以下iamRole事件在工作区级别记录。

服务 操作 说明 请求参数
iamRole changeIamRoleAcl 工作区管理员更改 IAM 角色的权限。 - targetUserId
- shardName
- resourceId
- aclPermissionSet

引入事件

以下ingestion事件在工作区级别记录。

服务 操作 说明 请求参数
ingestion proxyFileUpload 用户将文件上传到其 Azure Databricks 工作区。 - x-databricks-content-length-0
- x-databricks-total-files

实例池事件

以下instancePools事件在工作区级别记录。

服务 操作 说明 请求参数
instancePools changeInstancePoolAcl 用户更改实例池的权限。 - shardName
- resourceId
- targetUserId
- aclPermissionSet
instancePools create 用户创建实例池。 - enable_elastic_disk
- preloaded_spark_versions
- idle_instance_autotermination_minutes
- instance_pool_name
- node_type_id
- custom_tags
- max_capacity
- min_idle_instances
- aws_attributes
instancePools delete 用户删除实例池。 - instance_pool_id
instancePools edit 用户编辑实例池。 - instance_pool_name
- idle_instance_autotermination_minutes
- min_idle_instances
- preloaded_spark_versions
- max_capacity
- enable_elastic_disk
- node_type_id
- instance_pool_id
- aws_attributes

作业事件

以下jobs事件在工作区级别记录。

服务 操作 说明 请求参数
jobs cancel 作业运行已取消。 - run_id
jobs cancelAllRuns 用户取消作业的所有运行。 - job_id
jobs changeJobAcl 用户更新作业的权限。 - shardName
- aclPermissionSet
- resourceId
- targetUserId
jobs create 用户创建作业。 - spark_jar_task
- email_notifications
- notebook_task
- spark_submit_task
- timeout_seconds
- libraries
- name
- spark_python_task
- job_type
- new_cluster
- existing_cluster_id
- max_retries
- schedule
- run_as
jobs delete 用户删除作业。 - job_id
jobs deleteRun 用户删除作业运行。 - run_id
jobs getRunOutput 用户进行 API 调用以获取运行输出。 - run_id
- is_from_webapp
jobs repairRun 用户修复作业运行。 - run_id
- latest_repair_id
- rerun_tasks
jobs reset 作业已重置。 - job_id
- new_settings
jobs resetJobAcl 用户请求更改作业的权限。 - grants
- job_id
jobs runCommand 在启用详细的审核日志时可用。 在作业运行执行笔记本中的命令后发出。 命令对应于笔记本中的单元格。 - jobId
- runId
- notebookId
- executionTime
- status
- commandId
- commandText
jobs runFailed 作业运行失败。 - jobClusterType
- jobTriggerType
- jobId
- jobTaskType
- runId
- jobTerminalState
- idInJob
- orgId
- runCreatorUserName
jobs runNow 用户触发按需作业运行。 - notebook_params
- job_id
- jar_params
- workflow_context
jobs runStart 在验证和创建群集后启动作业运行时发出。 此事件发出的请求参数取决于作业中的任务类型。 除了列出的参数外,它们还可以包括:

- dashboardId(针对 SQL 仪表板任务)
- filePath(针对 SQL 文件任务)
- notebookPath(针对笔记本任务)
- mainClassName(针对 Spark JAR 任务)
- pythonFile(针对 Spark JAR 任务)
- projectDirectory(针对 dbt 任务)
- commands(针对 dbt 任务)
- packageName(针对 Python wheel 任务)
- entryPoint(针对 Python wheel 任务)
- pipelineId(针对管道任务)
- queryIds(针对 SQL 查询任务)
- alertId(针对 SQL 警报任务)
- taskDependencies
- multitaskParentRunId
- orgId
- idInJob
- jobId
- jobTerminalState
- taskKey
- jobTriggerType
- jobTaskType
- runId
- runCreatorUserName
jobs runSucceeded 作业运行成功。 - idInJob
- jobId
- jobTriggerType
- orgId
- runId
- jobClusterType
- jobTaskType
- jobTerminalState
- runCreatorUserName
jobs runTriggered 作业计划根据其计划或触发器自动触发。 - jobId
- jobTriggeredType
- runId
jobs sendRunWebhook 在作业开始、完成或失败时发送 Webhook。 - orgId
- jobId
- jobWebhookId
- jobWebhookEvent
- runId
jobs setTaskValue 用户为任务设置值。 - run_id
- key
jobs submitRun 用户通过 API 提交一次性运行。 - shell_command_task
- run_name
- spark_python_task
- existing_cluster_id
- notebook_task
- timeout_seconds
- libraries
- new_cluster
- spark_jar_task
jobs update 用户编辑作业的设置。 - job_id
- fields_to_remove
- new_settings
- is_from_dlt

市场使用者事件

以下marketplaceConsumer事件在工作区级别记录。

服务 操作 说明 请求参数
marketplaceConsumer getDataProduct 用户通过 Databricks 市场访问数据产品。 - listing_id
- listing_name
- share_name
- catalog_name
- request_context:有关有权访问数据产品的帐户和元存储的信息的阵列
marketplaceConsumer requestDataProduct 用户请求访问需要提供者批准的数据产品。 - listing_id
- listing_name
- catalog_name
- request_context:有关请求访问数据产品的帐户和元存储的信息的阵列

市场提供者事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下marketplaceProvider事件在工作区级别记录。

服务 操作 说明 请求参数
marketplaceProvider createListing 元存储管理员在其提供者配置文件中创建列表。 - listing:有关列表的详细信息的阵列
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider updateListing 元存储管理员更新其提供者配置文件中的列表。 - id
- listing:有关列表的详细信息的阵列
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider deleteListing 元存储管理员在其提供者配置文件中删除列表。 - id
- request_context:有关提供者的帐户和元存储的详细信息的阵列
marketplaceProvider updateConsumerRequestStatus 元存储管理员批准或拒绝数据产品请求。 - listing_id
- request_id
- status
- reason
- share:有关共享的信息的阵列
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider createProviderProfile 元存储管理员创建提供者配置文件。 - provider:有关共享的信息的阵列
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider updateProviderProfile 元存储管理员更新其提供者配置文件。 - id
- provider:有关共享的信息的阵列
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider deleteProviderProfile 元存储管理员删除其提供者配置文件。 - id
- request_context:有关提供者的帐户和元存储的信息的阵列
marketplaceProvider uploadFile 提供者将文件上传到其提供者配置文件。 - request_context:有关提供者的帐户和元存储的信息的阵列
- marketplace_file_type
- display_name
- mime_type
- file_parent:文件父级详细信息的阵列
marketplaceProvider deleteFile 提供者从其提供者配置文件中删除文件。 - file_id
- request_context:有关提供者的帐户和元存储的信息的阵列

具有 ACL 事件的 MLflow 项目

以下mlflowAcledArtifact事件在工作区级别记录。

服务 操作 说明 请求参数
mlflowAcledArtifact readArtifact 用户进行调用以读取项目。 - artifactLocation
- experimentId
- runId
mlflowAcledArtifact writeArtifact 用户进行调用以写入到项目。 - artifactLocation
- experimentId
- runId

MLflow 试验事件

以下mlflowExperiment事件在工作区级别记录。

服务 操作 说明 请求参数
mlflowExperiment createMlflowExperiment 用户创建 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment deleteMlflowExperiment 用户删除 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment moveMlflowExperiment 用户移动 MLflow 试验。 - newPath
- experimentId
- oldPath
mlflowExperiment restoreMlflowExperiment 用户还原 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment renameMlflowExperiment 用户重命名 MLflow 试验。 - oldName
- newName
- experimentId
- parentPath

MLflow 模型注册表事件

以下mlflowModelRegistry事件在工作区级别记录。

服务 操作 说明 请求参数
modelRegistry approveTransitionRequest 用户批准模型版本阶段转换请求。 - name
- version
- stage
- archive_existing_versions
modelRegistry changeRegisteredModelAcl 用户更新已注册模型的权限。 - registeredModelId
- userId
modelRegistry createComment 用户发布对模型版本的注释。 - name
- version
modelRegistry createModelVersion 用户创建模型版本。 - name
- source
- run_id
- tags
- run_link
modelRegistry createRegisteredModel 用户创建新的已注册模型 - name
- tags
modelRegistry createRegistryWebhook 用户为模型注册表事件创建 Webhook。 - orgId
- registeredModelId
- events
- description
- status
- creatorId
- httpUrlSpec
modelRegistry createTransitionRequest 用户创建模型版本阶段转换请求。 - name
- version
- stage
modelRegistry deleteComment 用户删除对模型版本的注释。 - id
modelRegistry deleteModelVersion 用户删除模型版本。 - name
- version
modelRegistry deleteModelVersionTag 用户删除模型版本标记。 - name
- version
- key
modelRegistry deleteRegisteredModel 用户删除已注册模型 - name
modelRegistry deleteRegisteredModelTag 用户删除已注册模型的标记。 - name
- key
modelRegistry deleteRegistryWebhook 用户删除模型注册表 Webhook。 - orgId
- webhookId
modelRegistry deleteTransitionRequest 用户取消模型版本阶段转换请求。 - name
- version
- stage
- creator
modelRegistry finishCreateModelVersionAsync 已完成异步模型复制。 - name
- version
modelRegistry generateBatchInferenceNotebook 批处理推理笔记本是自动生成的。 - userId
- orgId
- modelName
- inputTableOpt
- outputTablePathOpt
- stageOrVersion
- modelVersionEntityOpt
- notebookPath
modelRegistry generateDltInferenceNotebook 增量实时表管道的推理笔记本是自动生成的。 - userId
- orgId
- modelName
- inputTable
- outputTable
- stageOrVersion
- notebookPath
modelRegistry getModelVersionDownloadUri 用户获取用于下载模型版本的 URI。 - name
- version
modelRegistry getModelVersionSignedDownloadUri 用户获取用于下载已签名模型版本的 URI。 - name
- version
- path
modelRegistry listModelArtifacts 用户进行调用以列出模型的项目。 - name
- version
- path
- page_token
modelRegistry listRegistryWebhooks 用户进行调用以列出模型中的所有注册表 Webhook。 - orgId
- registeredModelId
modelRegistry rejectTransitionRequest 用户拒绝模型版本阶段转换请求。 - name
- version
- stage
modelRegistry renameRegisteredModel 用户重命名已注册模型 - name
- new_name
modelRegistry setEmailSubscriptionStatus 用户更新已注册模型的电子邮件订阅状态
modelRegistry setModelVersionTag 用户设置模型版本标记。 - name
- version
- key
- value
modelRegistry setRegisteredModelTag 用户设置模型版本标记。 - name
- key
- value
modelRegistry setUserLevelEmailSubscriptionStatus 用户更新整个注册表的电子邮件通知状态。 - orgId
- userId
- subscriptionStatus
modelRegistry testRegistryWebhook 用户测试模型注册表 Webhook。 - orgId
- webhookId
modelRegistry transitionModelVersionStage 用户获取模型版本的所有开放阶段转换请求的列表。 - name
- version
- stage
- archive_existing_versions
modelRegistry triggerRegistryWebhook 模型注册表 Webhook 由事件触发。 - orgId
- registeredModelId
- events
- status
modelRegistry updateComment 用户发布对模型版本的注释的编辑。 - id
modelRegistry updateRegistryWebhook 用户更新模型注册表 Webhook。 - orgId
- webhookId

模型服务事件

以下serverlessRealTimeInference事件在工作区级别记录。

服务 操作 说明 请求参数
serverlessRealTimeInference changeInferenceEndpointAcl 用户更新推理终结点的权限。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
serverlessRealTimeInference createServingEndpoint 用户创建模型服务终结点。 - name
- config
serverlessRealTimeInference deleteServingEndpoint 用户删除模型服务终结点。 - name
serverlessRealTimeInference disable 用户为已注册模型禁用模型服务。 - registered_mode_name
serverlessRealTimeInference enable 用户为已注册模型启用模型服务。 - registered_mode_name
serverlessRealTimeInference getQuerySchemaPreview 用户进行调用以获取查询架构预览。 - endpoint_name
serverlessRealTimeInference updateServingEndpoint 用户更新模型服务终结点。 - name
- served_models
- traffic_config
serverlessRealTimeInference updateInferenceEndpointRateLimits 用户更新推理终结点的速率限制。 速率限制仅适用于基础模型 API 的按令牌付费和外部模型终结点。 - name
- rate_limits

Notebook 事件

以下notebook事件在工作区级别记录。

服务 操作 说明 请求参数
notebook attachNotebook 笔记本已附加到群集。 - path
- clusterId
- notebookId
notebook cloneNotebook 用户克隆笔记本。 - notebookId
- path
- clonedNotebookId
- destinationPath
notebook createNotebook 已创建笔记本。 - notebookId
- path
notebook deleteFolder 已删除笔记本文件夹。 - path
notebook deleteNotebook 已删除笔记本。 - notebookId
- notebookName
- path
notebook detachNotebook 笔记本与群集分离。 - notebookId
- clusterId
- path
notebook downloadLargeResults 用户下载的查询结果太大,无法显示在笔记本中。 - notebookId
- notebookFullPath
notebook downloadPreviewResults 用户下载查询结果。 - notebookId
- notebookFullPath
notebook importNotebook 用户导入笔记本。 - path
notebook moveFolder 笔记本文件夹已从一个位置移动到另一个位置。 - oldPath
- newPath
- folderId
notebook moveNotebook 笔记本已从一个位置移动到另一个位置。 - newPath
- oldPath
- notebookId
notebook renameNotebook 笔记本已重命名。 - newName
- oldName
- parentPath
- notebookId
notebook restoreFolder 删除的文件夹已还原。 - path
notebook restoreNotebook 删除的笔记本已还原。 - path
- notebookId
- notebookName
notebook runCommand 在启用详细的审核日志时可用。 在 Databricks 在笔记本中运行命令后发出。 命令对应于笔记本中的单元格。

executionTime 以秒为度量单位。
- notebookId
- executionTime
- status
- commandId
- commandText
- commandLanguage
notebook takeNotebookSnapshot 在运行作业服务或 mlflow 时拍摄笔记本快照。 - path

Partner Connect 事件

以下partnerHub事件在工作区级别记录。

服务 操作 说明 请求参数
partnerHub createOrReusePartnerConnection 工作区管理员设置与合作伙伴解决方案的连接。 - partner_name
partnerHub deletePartnerConnection 工作区管理员删除合作伙伴连接。 - partner_name
partnerHub downloadPartnerConnectionFile 工作区管理员下载合作伙伴连接文件。 - partner_name
partnerHub setupResourcesForPartnerConnection 工作区管理员为合作伙伴连接设置资源。 - partner_name

预测性优化事件

以下predictiveOptimization事件在工作区级别记录。

服务 操作 说明 请求参数
predictiveOptimization PutMetrics 记录了预测性优化更新表和工作负荷指标的时间,以便服务可以更智能地计划优化操作。 - table_metrics_list
- start_time
- end_time
predictiveOptimization UpdatePredictiveOptimization 帐户管理员启用或禁用元存储的预测性优化。 - metastore_id
- enable

远程历史记录服务事件

以下remoteHistoryService事件在工作区级别记录。

服务 操作 说明 请求参数
remoteHistoryService addUserGitHubCredentials 用户添加 Github 凭据
remoteHistoryService deleteUserGitHubCredentials 用户删除 Github 凭据
remoteHistoryService updateUserGitHubCredentials 用户更新 Github 凭据

Git 文件夹事件

以下repos事件在工作区级别记录。

服务 操作名称 说明 请求参数
repos checkoutBranch 用户签出存储库上的分支。 - id
- branch
repos commitAndPush 用户提交并推送到存储库。 - id
- message
- files
- checkSensitiveToken
repos createRepo 用户在工作区中创建存储库 - url
- provider
- path
repos deleteRepo 用户删除存储库。 - id
repos discard 用户放弃提交到存储库。 - id
- file_paths
repos getRepo 用户进行调用以获取有关单个存储库的信息。 - id
repos listRepos 用户进行调用以获取他们对其拥有管理权限的所有存储库。 - path_prefix
- next_page_token
repos pull 用户从存储库拉取最新提交。 - id
repos updateRepo 用户将存储库更新到不同的分支或标记,或更新到同一分支上的最新提交。 - id
- branch
- tag
- git_url
- git_provider

机密事件

以下secrets事件在工作区级别记录。

服务 操作名称 说明 请求参数
secrets createScope 用户创建机密范围。 - scope
- initial_manage_principal
- scope_backend_type
secrets deleteAcl 用户删除机密范围的 ACL。 - scope
- principal
secrets deleteScope 用户删除机密范围。 - scope
secrets deleteSecret 用户从范围中删除机密。 - key
- scope
secrets getAcl 用户获取机密范围的 ACL。 - scope
- principal
secrets getSecret 用户从范围中获取机密。 - key
- scope
secrets listAcls 用户进行调用以列出机密范围的 ACL。 - scope
secrets listScopes 用户进行调用以列出机密范围
secrets listSecrets 用户进行调用以列出范围中的机密。 - scope
secrets putAcl 用户更改机密范围的 ACL。 - scope
- principal
- permission
secrets putSecret 用户在范围中添加或编辑机密。 - string_value
- key
- scope

SQL 表访问事件

注意

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储

以下sqlPermissions事件在工作区级别记录。

服务 操作名称 说明 请求参数
sqlPermissions changeSecurableOwner 工作区管理员或对象的所有者转让对象所有权。 - securable
- principal
sqlPermissions createSecurable 用户创建安全对象。 - securable
sqlPermissions denyPermission 对象所有者拒绝对安全对象的权限。 - permission
sqlPermissions grantPermission 对象所有者授予对安全对象的权限。 - permission
sqlPermissions removeAllPermissions 用户删除安全对象。 - securable
sqlPermissions renameSecurable 用户重命名安全对象。 - before
- after
sqlPermissions requestPermissions 用户请求对安全对象的权限。 - requests
sqlPermissions revokePermission 对象所有者撤销对其安全对象的权限。 - permission
sqlPermissions showPermissions 用户查看安全对象权限。 - securable
- principal

SSH 事件

以下ssh事件在工作区级别记录。

服务 操作名称 说明 请求参数
ssh login 代理通过 SSH 登录到 Spark 驱动程序。 - containerId
- userName
- port
- publicKey
- instanceId
ssh logout 代理通过 SSH 从 Spark 驱动程序注销。 - userName
- containerId
- instanceId

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下vectorSearch事件在工作区级别记录。

服务 操作 说明 请求参数
vectorSearch createEndpoint 用户创建矢量搜索终结点。 - name
- endpoint_type
vectorSearch deleteEndpoint 用户删除矢量搜索终结点。 - name
vectorSearch createVectorIndex 用户创建矢量搜索索引。 - name
- endpoint_name
- primary_key
- index_type
- delta_sync_index_spec
- direct_access_index_spec
vectorSearch deleteVectorIndex 用户删除矢量搜索索引。 - name
- endpoint_name
- delete_embedding_writeback_table

Web 终端事件

以下webTerminal事件在工作区级别记录。

服务 操作名称 说明 请求参数
webTerminal startSession 用户启动 Web 终端会话。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI
webTerminal closeSession 用户关闭 Web 终端会话。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI

工作区事件

以下workspace事件在工作区级别记录。

服务 操作名称 说明 请求参数
workspace changeWorkspaceAcl 对工作区的权限已发生更改。 - shardName
- targetUserId
- aclPermissionSet
- resourceId
workspace deleteSetting 已从工作区中删除设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
workspace fileCreate 用户在工作区中创建文件。 - path
workspace fileDelete 用户删除工作区中的文件。 - path
workspace fileEditorOpenEvent 用户打开文件编辑器。 - notebookId
- path
workspace getRoleAssignment 用户获取工作区的用户角色。 - account_id
- workspace_id
workspace mintOAuthAuthorizationCode 在工作区级别创建内部 OAuth 授权代码时记录。 - client_id
workspace mintOAuthToken 已为工作区创建 OAuth 令牌。 - grant_type
- scope
- expires_in
- client_id
workspace moveWorkspaceNode 工作区管理员移动工作区节点。 - destinationPath
- path
workspace purgeWorkspaceNodes 工作区管理员清除工作区节点。 - treestoreId
workspace reattachHomeFolder 为重新添加到工作区的用户重新附加现有主文件夹。 - path
workspace renameWorkspaceNode 工作区管理员重命名工作区节点。 - path
- destinationPath
workspace unmarkHomeFolder 从工作区中移除用户时,会同时移除主文件夹特殊属性。 - path
workspace updateRoleAssignment 工作区管理员更新工作区用户的角色。 - account_id
- workspace_id
- principal_id
workspace updatePermissionAssignment 工作区管理员将主体添加到工作区。 - principal_id
- permissions
workspace setSetting 工作区管理员配置工作区设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
workspace workspaceConfEdit 工作区管理员对设置进行更新,例如启用详细的审核日志。 - workspaceConfKeys
- workspaceConfValues
workspace workspaceExport 用户从工作区中导出笔记本。 - workspaceExportDirectDownload
- workspaceExportFormat
- notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth 客户端在工作区服务中进行身份验证。 - user

计费使用量事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下accountBillableUsage事件在帐户级别记录。

服务 操作 说明 请求参数
accountBillableUsage getAggregatedUsage 用户通过使用量关系图功能访问了帐户的聚合计费使用量(每日使用量)。 - account_id
- window_size
- start_time
- end_time
- meter_name
- workspace_ids_filter
accountBillableUsage getDetailedUsage 用户通过使用量下载功能访问了帐户的详细计费使用量(每个群集的使用量)。 - account_id
- start_month
- end_month
- with_pii

帐户级别帐户事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下accounts事件在帐户级别记录。

服务 操作 说明 请求参数
accounts accountInHouseOAuthClientAuthentication OAuth 客户端已经过身份验证。 - endpoint
accounts accountIpAclsValidationFailed IP 权限验证失败。 返回 statusCode 403。 - sourceIpAddress
- user:记录为电子邮件地址
accounts activateUser 在停用用户后将其重新激活。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts add 用户已添加到 Azure Databricks 帐户。 - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup 用户已添加到帐户级别组。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts addPrincipalsToGroup 已使用 SCIM 预配将用户添加到帐户级别组。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts createGroup 已创建帐户级别组。 - endpoint
- targetGroupId
- targetGroupName
accounts deactivateUser 停用用户。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts delete 已从 Azure Databricks 帐户中删除用户。 - targetUserId
- targetUserName
- endpoint
accounts deleteSetting 帐户管理员从 Azure Databricks 帐户中移除设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts garbageCollectDbToken 用户对过期的令牌运行垃圾回收命令。 - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken 用户从“用户设置”生成令牌时,或者当服务生成令牌时。 - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts login 用户登录到帐户控制台。 - user
accounts logout 用户从帐户控制台注销。 - user
accounts oidcBrowserLogin 用户使用 OpenID Connect 浏览器工作流登录到其帐户。 - user
accounts oidcTokenAuthorization OIDC 令牌经过身份验证以用于帐户管理员登录。 - user
accounts removeAccountAdmin 帐户管理员移除其他用户的帐户管理员权限。 - targetUserName
- endpoint
- targetUserId
accounts removeGroup 已从帐户中移除组。 - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup 已从帐户级别组中移除用户。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts removePrincipalsFromGroup 已使用 SCIM 预配从帐户级别组移除用户。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts setAccountAdmin 帐户管理员将帐户管理员角色分配给另一个用户。 - targetUserName
- endpoint
- targetUserId
accounts setSetting 帐户管理员更新帐户级别设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts tokenLogin 用户使用令牌登录到 Databricks。 - tokenId
- user
accounts updateUser 帐户管理员更新用户帐户。 - targetUserName
- endpoint
- targetUserId
accounts updateGroup 帐户管理员更新帐户级别组。 - endpoint
- targetGroupId
- targetGroupName
accounts validateEmail 当用户在创建帐户后验证其电子邮件时。 - endpoint
- targetUserName
- targetUserId

帐户级访问控制事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下accountsAccessControl事件在帐户级别记录。

服务 操作 说明 请求参数
accountsAccessControl updateRuleSet 更改规则集时。 - account_id
- name
- rule_set

帐户管理事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下accountsManager事件在帐户级别记录。 这些事件与帐户控制台中的帐户管理员所做的配置有关。

服务 操作 说明 请求参数
accountsManager createNetworkConnectivityConfig 帐户管理员创建了网络连接配置。 - network_connectivity_config
accountsManager getNetworkConnectivityConfig 帐户管理员请求有关网络连接配置的详细信息。 - account_id
- network_connectivity_config_id
accountsManager listNetworkConnectivityConfigs 帐户管理员列出帐户中的所有网络连接配置。 - account_id
accountsManager deleteNetworkConnectivityConfig 帐户管理员删除了网络连接配置。 - account_id
- network_connectivity_config_id
accountsManager createNetworkConnectivityConfigPrivateEndpointRule 帐户管理员创建了专用终结点规则。 - account_id
- network_connectivity_config_id
- azure_private_endpoint_rule
accountsManager getNetworkConnectivityConfigPrivateEndpointRule 帐户管理员请求有关专用终结点规则的详细信息。 - account_id
- network_connectivity_config_id
- rule_id
accountsManager listNetworkConnectivityConfigPrivateEndpointRules 帐户管理员列出网络连接配置下的所有专用终结点规则。 - account_id
- network_connectivity_config_id
accountsManager deleteNetworkConnectivityConfigPrivateEndpointRule 帐户管理员删除了专用终结点规则。 - account_id
- network_connectivity_config_id
- rule_id
accountsManager updateNetworkConnectivityConfigPrivateEndpointRule 帐户管理员更新了专用终结点规则。 - account_id
- network_connectivity_config_id
- rule_id
- azure_private_endpoint_rule

预算策略事件

以下 budgetPolicyCentral 事件记录在帐户级别,并且与预算策略相关。 请参阅 具有预算策略的属性无服务器使用情况。

服务 操作 说明 请求参数
budgetPolicyCentral createBudgetPolicy 工作区管理员或计费管理员创建预算策略。 policy_id新项记录在response列中。 - policy_name
budgetPolicyCentral updateBudgetPolicy 工作区管理员、计费管理员或策略管理器更新预算策略。 - policy.policy_id
- policy.policy_name
budgetPolicyCentral updateBudgetPolicy 工作区管理员、计费管理员或策略管理器删除预算策略。 - policy_id

Unity Catalog 事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

以下诊断事件与 Unity Catalog 有关。 Delta Sharing 事件也记录在 unityCatalog 服务下。 有关增量共享事件,请参阅增量共享事件。 可以根据事件在工作区级别或帐户级别记录 Unity 目录审核事件。

服务 操作 说明 请求参数
unityCatalog createMetastore 帐户管理员创建元存储。 - name
- storage_root
- workspace_id
- metastore_id
unityCatalog getMetastore 帐户管理员请求元存储 ID。 - id
- workspace_id
- metastore_id
unityCatalog getMetastoreSummary 帐户管理员请求有关元存储的详细信息。 - workspace_id
- metastore_id
unityCatalog listMetastores 帐户管理员请求帐户中所有元存储的列表。 - workspace_id
unityCatalog updateMetastore 帐户管理员对元存储进行更新。 - id
- owner
- workspace_id
- metastore_id
unityCatalog deleteMetastore 帐户管理员删除元存储。 - id
- force
- workspace_id
- metastore_id
unityCatalog updateMetastoreAssignment 帐户管理员对元存储的工作区分配进行更新。 - workspace_id
- metastore_id
- default_catalog_name
unityCatalog createExternalLocation 帐户管理员创建外部位置。 - name
- skip_validation
- url
- credential_name
- workspace_id
- metastore_id
unityCatalog getExternalLocation 帐户管理员请求有关外部位置的详细信息。 - name_arg
- include_browse
- workspace_id
- metastore_id
unityCatalog listExternalLocations 帐户管理员请求帐户中所有外部位置的列表。 - url
- max_results
- workspace_id
- metastore_id
unityCatalog updateExternalLocation 帐户管理员对外部位置进行更新。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteExternalLocation 帐户管理员删除外部位置。 - name_arg
- force
- workspace_id
- metastore_id
unityCatalog createCatalog 用户创建目录。 - name
- comment
- workspace_id
- metastore_id
unityCatalog deleteCatalog 用户删除目录。 - name_arg
- workspace_id
- metastore_id
unityCatalog getCatalog 用户请求有关目录的详细信息。 - name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog updateCatalog 用户更新目录。 - name_arg
- isolation_mode
- comment
- workspace_id
- metastore_id
unityCatalog listCatalog 用户进行调用以列出元存储中的所有目录。 - name_arg
- workspace_id
- metastore_id
unityCatalog createSchema 用户创建架构。 - name
- catalog_name
- comment
- workspace_id
- metastore_id
unityCatalog deleteSchema 用户删除架构。 - full_name_arg
- force
- workspace_id
- metastore_id
unityCatalog getSchema 用户请求有关架构的详细信息。 - full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog listSchema 用户请求目录中所有架构的列表。 - catalog_name
unityCatalog updateSchema 用户更新架构。 - full_name_arg
- name
- workspace_id
- metastore_id
- comment
unityCatalog createStagingTable - name
- catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog createTable 用户创建表。 请求参数因创建的表的类型而异。 - name
- data_source_format
- catalog_name
- schema_name
- storage_location
- columns
- dry_run
- table_type
- view_dependencies
- view_definition
- sql_path
- comment
unityCatalog deleteTable 用户删除表。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog getTable 用户请求有关表的详细信息。 - include_delta_metadata
- full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog privilegedGetTable - full_name_arg
unityCatalog listTables 用户进行调用以列出架构中的所有表。 - catalog_name
- schema_name
- workspace_id
- metastore_id
- include_browse
unityCatalog listTableSummaries 用户获取元存储中架构和目录的表的摘要数组。 - catalog_name
- schema_name_pattern
- workspace_id
- metastore_id
unityCatalog updateTables 用户对表进行更新。 显示的请求参数因更新的表的类型而异。 - full_name_arg
- table_type
- table_constraint_list
- data_source_format
- columns
- dependent
- row_filter
- storage_location
- sql_path
- view_definition
- view_dependencies
- owner
- comment
- workspace_id
- metastore_id
unityCatalog createStorageCredential 帐户管理员创建存储凭据。 你可能会看到基于云提供商凭据的其他请求参数。 - name
- comment
- workspace_id
- metastore_id
unityCatalog listStorageCredentials 帐户管理员进行调用以列出帐户中的所有存储凭据。 - workspace_id
- metastore_id
unityCatalog getStorageCredential 帐户管理员请求有关存储凭据的详细信息。 - name_arg
- workspace_id
- metastore_id
unityCatalog updateStorageCredential 帐户管理员对存储凭据进行更新。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteStorageCredential 帐户管理员删除存储凭据。 - name_arg
- workspace_id
- metastore_id
unityCatalog generateTemporaryTableCredential 每当为表授予临时凭据时记录。 可以使用此事件来确定谁查询了什么内容以及查询时间。 - credential_id
- credential_type
- is_permissions_enforcing_client
- table_full_name
- operation
- table_id
- workspace_id
- table_url
- metastore_id
unityCatalog generateTemporaryPathCredential 每当为路径授予临时凭据时记录。 - url
- operation
- make_path_only_parent
- workspace_id
- metastore_id
unityCatalog getPermissions 用户进行调用以获取安全对象的权限详细信息。 此调用不会返回继承的权限,仅返回显示分配的权限。 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getEffectivePermissions 用户进行调用以获取安全对象的所有权限详细信息。 有效的权限调用会返回显式分配的权限和继承的权限。 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog updatePermissions 用户更新对安全对象的权限。 - securable_type
- changes
- securable_full_name
- workspace_id
- metastore_id
unityCatalog metadataSnapshot 用户从以前的表版本查询元数据。 - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog metadataAndPermissionsSnapshot 用户从以前的表版本查询元数据和权限。 - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog updateMetadataSnapshot 用户从以前的表版本更新元数据。 - table_list_snapshots
- schema_list_snapshots
- workspace_id
- metastore_id
unityCatalog getForeignCredentials 用户进行调用以获取有关外键的详细信息。 - securables
- workspace_id
- metastore_id
unityCatalog getInformationSchema 用户进行调用以获取有关架构的详细信息。 - table_name
- page_token
- required_column_names
- row_set_type
- required_column_names
- workspace_id
- metastore_id
unityCatalog createConstraint 用户为表创建约束。 - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog deleteConstraint 用户删除表的约束。 - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog createPipeline 用户创建 Unity Catalog 管道。 - target_catalog_name
- has_workspace_definition
- id
- workspace_id
- metastore_id
unityCatalog updatePipeline 用户更新 Unity Catalog 管道。 - id_arg
- definition_json
- id
- workspace_id
- metastore_id
unityCatalog getPipeline 用户请求有关 Unity Catalog 管道的详细信息。 - id
- workspace_id
- metastore_id
unityCatalog deletePipeline 用户删除 Unity Catalog 管道。 - id
- workspace_id
- metastore_id
unityCatalog deleteResourceFailure 资源删除失败
unityCatalog createVolume 用户创建 Unity Catalog 卷。 - name
- catalog_name
- schema_name
- volume_type
- storage_location
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getVolume 用户进行调用以获取有关 Unity Catalog 卷的信息。 - volume_full_name
- workspace_id
- metastore_id
unityCatalog updateVolume 用户使用 ALTER VOLUMECOMMENT ON 调用来更新 Unity Catalog 卷的元数据。 - volume_full_name
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteVolume 用户删除 Unity Catalog 卷。 - volume_full_name
- workspace_id
- metastore_id
unityCatalog listVolumes 用户进行调用以获取架构中所有 Unity Catalog 卷的列表。 - catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog generateTemporaryVolumeCredential 当用户对卷执行读取或写入操作时,将生成临时凭据。 可以使用此事件来确定谁在何时访问了卷。 - volume_id
- volume_full_name
- operation
- volume_storage_location
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog getTagSecurableAssignments 提取安全对象的标记分配 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getTagSubentityAssignments 提取子实体的标记分配 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
unityCatalog UpdateTagSecurableAssignments 更新安全对象的标记分配 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- changes
unityCatalog UpdateTagSubentityAssignments 更新子实体的标记分配 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
- changes
unityCatalog createRegisteredModel 用户创建 Unity Catalog 已注册模型。 - name
- catalog_name
- schema_name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getRegisteredModel 用户进行调用以获取有关 Unity Catalog 已注册模型的信息。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog updateRegisteredModel 用户更新 Unity Catalog 已注册模型的元数据。 - full_name_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteRegisteredModel 用户删除 Unity Catalog 已注册模型。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog listRegisteredModels 用户进行调用以获取架构中 Unity Catalog 已注册模型的列表,或跨目录和架构列出模型。 - catalog_name
- schema_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog createModelVersion 用户在 Unity Catalog 中创建模型版本。 - catalog_name
- schema_name
- model_name
- source
- comment
- workspace_id
- metastore_id
unityCatalog finalizeModelVersion 在将模型版本文件上传到其存储位置后,用户进行调用以“最终确定”Unity Catalog 模型版本,使其在推理工作流中为只读且可用。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersion 用户发出调用,以获取有关模型版本的详细信息。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersionByAlias 用户发出调用,以使用别名获取有关模型版本的详细信息。 - full_name_arg
- include_aliases
- alias_arg
- workspace_id
- metastore_id
unityCatalog updateModelVersion 用户更新模型版本的元数据。 - full_name_arg
- version_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteModelVersion 用户删除模型版本。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog listModelVersions 用户进行调用以获取已注册模型中的 Unity Catalog 模型版本的列表。 - catalog_name
- schema_name
- model_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog generateTemporaryModelVersionCredential 当用户在模型版本上执行写入(在初始模型版本创建期间)或读取(在最终确定模型版本后)时,会生成临时凭据。 可使用此事件来确定谁在何时访问了模型版本。 - full_name_arg
- version_arg
- operation
- model_version_url
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog setRegisteredModelAlias 用户在 Unity Catalog 已注册模型上设置别名。 - full_name_arg
- alias_arg
- version
unityCatalog deleteRegisteredModelAlias 用户在 Unity Catalog 已注册模型上删除别名。 - full_name_arg
- alias_arg
unityCatalog getModelVersionByAlias 用户按别名获取 Unity Catalog 模型版本。 - full_name_arg
- alias_arg
unityCatalog createConnection 新建了外部连接。 - name
- connection_type
- workspace_id
- metastore_id
unityCatalog deleteConnection 删除了外部连接。 - name_arg
- workspace_id
- metastore_id
unityCatalog getConnection 检索了外部连接。 - name_arg
- workspace_id
- metastore_id
unityCatalog updateConnection 更新了外部连接。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listConnections 列出了元存储中的外部连接。 - workspace_id
- metastore_id
unityCatalog createFunction 用户创建新的函数。 - function_info
- workspace_id
- metastore_id
unityCatalog updateFunction 用户更新函数。 - full_name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listFunctions 用户请求特定父目录或架构中所有函数的列表。 - catalog_name
- schema_name
- include_browse
- workspace_id
- metastore_id
unityCatalog getFunction 用户从父目录或架构请求函数。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog deleteFunction 用户从父目录或架构请求函数。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog createShareMarketplaceListingLink - links_infos
- metastore_id
unityCatalog deleteShareMarketplaceListingLink - links_infos
- metastore_id

增量共享事件

注意

此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。

增量共享事件包括两个部分:数据提供者帐户中记录的事件和数据接收者帐户中记录的事件。

增量共享提供者事件

以下审核日志事件记录在提供者的帐户中。 接收者执行的操作以 deltaSharing 前缀开头。 其中每个日志还包括 request_params.metastore_id、管理共享数据的元存储,以及发起该活动的用户的 ID userIdentity.email

服务 操作 说明 请求参数
unityCatalog deltaSharingListShares 数据接收者请求共享列表。 - options:此请求提供的分页选项。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetShare 数据接收者请求有关共享的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListSchemas 数据接收者请求共享架构的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- options:此请求提供的分页选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllTables 数据接收者请求所有共享表的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListTables 数据接收者请求共享表的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- options:此请求提供的分页选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableMetadata 数据接收者请求有关表元数据的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- predicateHints:查询中包含的谓词。
- limitHints:返回的最大行数。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableVersion 数据接收者请求有关表版本的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTable 当数据接收者查询共享表时记录。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- predicateHints:查询中包含的谓词。
- limitHints:返回的最大行数。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTableChanges 当数据接收者查询表的更改数据时记录。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- cdf_options:更改数据馈送选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTable 当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关接收者查询的详细信息(请参阅审核和监视数据共享 - recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTableChanges 当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关收件人查询的详细信息(请参阅 审核和监视数据共享)。 - recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListNotebookFiles 数据接收者请求共享笔记本文件的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryNotebookFile 数据接收者查询共享笔记本文件。 - file_name:笔记本文件的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctions 数据接收者请求父架构中函数的列表。 - share:共享的名称。
- schema:函数的父架构名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllFunctions 数据接收者请求所有共享函数的列表。 - share:共享的名称。
- schema:函数的父架构名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctionVersions 数据接收者请求函数版本列表。 - share:共享的名称。
- schema:函数的父架构名称。
- function:函数的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListVolumes 数据接收者请求架构中共享卷的列表。 - share:共享的名称。
- schema:卷的父架构。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllVolumes 数据接收者请求所有共享卷。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog updateMetastore 提供者更新其元存储。 - delta_sharing_scope:值可以为 INTERNALINTERNAL_AND_EXTERNAL
- delta_sharing_recipient_token_lifetime_in_seconds:如果存在,则表示接收者令牌生存期已更新。
unityCatalog createRecipient 提供者创建数据接收者。 - name:接收者的名称。
- comment:接收者的注释。
- ip_access_list.allowed_ip_addresses: 接收者 IP 地址允许列表。
unityCatalog deleteRecipient 提供者删除数据接收者。 - name:接收者的名称。
unityCatalog getRecipient 提供者请求有关数据接收者的详细信息。 - name:接收者的名称。
unityCatalog listRecipients 提供者请求其所有数据接收者的列表。
unityCatalog rotateRecipientToken 提供者轮换接收者的令牌。 - name:接收者的名称。
- comment:轮换命令中给定的注释。
unityCatalog updateRecipient 提供者更新数据接收者的属性。 - name:接收者的名称。
- updates:在共享中添加或删除的收件人属性的 JSON 表示形式。
unityCatalog createShare 提供者更新数据接收者的属性。 - name:共享的名称。
- comment:共享的注释。
unityCatalog deleteShare 提供者更新数据接收者的属性。 - name:共享的名称。
unityCatalog getShare 提供者请求有关共享的详细信息。 - name:共享的名称。
- include_shared_objects:请求中是否包含共享的表名。
unityCatalog updateShare 提供者添加或移除共享中的数据资产。 - name:共享的名称。
- updates:已在共享中添加或删除的数据资产的 JSON 表示形式。 每一项都包含 action(添加或移除)、name(表的实际名称)、shared_as(资产共享时的名称,如果与实际名称不同),以及 partition_specification(如果提供了分区规范)。
unityCatalog listShares 提供者请求其共享的列表。
unityCatalog getSharePermissions 提供者请求有关共享权限的详细信息。 - name:共享的名称。
unityCatalog updateSharePermissions 提供者更新共享的权限。 - name:共享的名称。
- changes 更新的权限的 JSON 表示形式。 每项更改都包含 principal(向其授予或撤消权限的用户或组)、add(已授予的权限列表)、remove(已撤消的权限列表)。
unityCatalog getRecipientSharePermissions 提供者请求有关接收者共享权限的详细信息。 - name:共享的名称。
unityCatalog getActivationUrlInfo 提供者请求有关其激活链接上活动的详细信息。 - recipient_name:打开激活 URL 的接收者的名称。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则值为 true;如果未拒绝请求,则值为 falsesourceIPaddress 是收件人 IP 地址。
unityCatalog generateTemporaryVolumeCredential 将为接收者生成临时凭据以访问共享卷。 - share_name:收件人通过其提出请求的共享名称。
- share_id:共享的 ID。
- share_owner:共享的所有者。
- recipient_name:请求凭据的收件人的名称。
- recipient_id:收件人的 ID。
- volume_full_name:卷的完整 3 级名称。
- volume_id:卷的 ID。
- volume_storage_location:卷根的云路径。
- operationREAD_VOLUMEWRITE_VOLUME。 对于卷共享,仅支持 READ_VOLUME
- credential_id:凭据的 ID。
- credential_type:凭据的类型。 值始终为 StorageCredential
- workspace_id:当请求针对共享卷时,值始终为 0
unityCatalog generateTemporaryTableCredential 将为接收者生成临时凭据以访问共享表。 - share_name:收件人通过其提出请求的共享名称。
- share_id:共享的 ID。
- share_owner:共享的所有者。
- recipient_name:请求凭据的收件人的名称。
- recipient_id:收件人的 ID。
- table_full_name:卷的完整 3 级名称。
- table_id:表的 ID。
- table_url:表根的云路径。
- operationREADREAD_WRITE
- credential_id:凭据的 ID。
- credential_type:凭据的类型。 值始终为 StorageCredential
- workspace_id:当请求针对共享表时,值始终为 0

增量共享接收者事件

以下事件记录在数据接收者的帐户中。 这些事件记录接收者对共享数据和 AI 资产的访问,以及与提供者管理关联的事件。 其中每个事件还包括以下请求参数:

  • recipient_name:数据提供者系统中接收者的名称。
  • metastore_id:数据提供者系统中元存储的名称。
  • sourceIPAddress:发起请求的 IP 地址。
服务 操作 说明 请求参数
unityCatalog deltaSharingProxyGetTableVersion 数据接收者请求有关共享表版本的详细信息。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
unityCatalog deltaSharingProxyGetTableMetadata 数据接收者请求有关共享表元数据的详细信息。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
unityCatalog deltaSharingProxyQueryTable 数据接收者查询共享表。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
- limitHints:返回的最大行数。
- predicateHints:查询中包含的谓词。
- version:表版本(如果启用了更改数据馈送)。
unityCatalog deltaSharingProxyQueryTableChanges 数据接收者查询表的更改数据。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
- cdf_options:更改数据馈送选项。
unityCatalog createProvider 数据接收者创建提供者对象。 - name:提供者的名称。
- comment:提供者的注释。
unityCatalog updateProvider 数据接收者更新提供者对象。 - name:提供者的名称。
- updates:在共享中添加或删除的提供者属性的 JSON 表示形式。 每项都包含 action(添加或移除),并且可以包含 name(新的提供者名称)、owner(新的所有者)和 comment
unityCatalog deleteProvider 数据接收者删除提供者对象。 - name:提供者的名称。
unityCatalog getProvider 数据接收者请求有关提供者对象的详细信息。 - name:提供者的名称。
unityCatalog listProviders 数据接收者请求提供者列表。
unityCatalog activateProvider 数据接收者激活提供者对象。 - name:提供者的名称。
unityCatalog listProviderShares 数据接收者请求提供者共享的列表。 - name:提供者的名称。
unityCatalog generateTemporaryVolumeCredential 将为接收者生成临时凭据以访问共享卷。 - share_name:收件人通过其提出请求的共享名称。
- volume_full_name:卷的完整 3 级名称。
- volume_id:卷的 ID。
- operationREAD_VOLUMEWRITE_VOLUME。 对于卷共享,仅支持 READ_VOLUME
- workspace_id:接收用户请求的工作区的 ID。
unityCatalog generateTemporaryTableCredential 将为接收者生成临时凭据以访问共享表。 - share_name:收件人通过其提出请求的共享名称。
- table_full_name:卷的完整 3 级名称。
- table_id:表的 ID。
- operationREADREAD_WRITE
- workspace_id:接收用户请求的工作区的 ID。

其他安全监视事件

对于经典计算平面中的 Azure Databricks 计算资源(例如群集和 Pro 或经典 SQL 仓库的 VM),以下功能支持其他监视代理:

文件完整性监视事件

以下capsule8-alerts-dataplane事件在工作区级别记录。

服务 操作 说明 请求参数
capsule8-alerts-dataplane Heartbeat 用于确认监视器已打开的常规事件。 当前每 10 分钟运行一次。 - instanceId
capsule8-alerts-dataplane Memory Marked Executable 内存通常标记为可执行文件,以便在应用程序被攻击时允许执行恶意代码。 当程序将堆或堆栈内存权限设置为可执行文件时发出警报。 这可能会导致某些应用程序服务器出现误报。 - instanceId
capsule8-alerts-dataplane File Integrity Monitor 监视重要系统文件的完整性。 对这些文件进行任何未授权更改时发出警报。 Databricks 在映像上定义特定的系统路径集,这组路径可能会随时间而更改。 - instanceId
capsule8-alerts-dataplane Systemd Unit File Modified 对系统单元的更改可能导致放松或禁用安全控制,或者安装恶意服务。 每当 systemd 单元文件被除 systemctl 以外的程序修改时发出警报。 - instanceId
capsule8-alerts-dataplane Repeated Program Crashes 重复的程序崩溃可能表明攻击者正在尝试攻击内存损坏漏洞,或者受影响的应用程序中存在稳定性问题。 当单个程序超过 5 个实例通过分段错误发生故障时发出警报。 - instanceId
capsule8-alerts-dataplane Userfaultfd Usage 由于容器通常是静态工作负载,此警报可能表明攻击者已入侵容器,并正在尝试安装和运行后门程序。 在容器中执行 30 分钟内创建或修改的文件时发出警报。 - instanceId
capsule8-alerts-dataplane New File Executed in Container 内存通常标记为可执行文件,以便在应用程序被攻击时允许执行恶意代码。 当程序将堆或堆栈内存权限设置为可执行文件时发出警报。 这可能会导致某些应用程序服务器出现误报。 - instanceId
capsule8-alerts-dataplane Suspicious Interactive Shell 交互式 shell 在新式生产基础结构中很少出现。 在使用通常用于反向 shell 的参数启动交互式 shell 时发出警报。 - instanceId
capsule8-alerts-dataplane User Command Logging Evasion 逃避命令日志记录是攻击者的常见做法,但也可能表明合法用户正在执行未经授权的操作或试图逃避策略。 在检测到对用户命令历史记录日志记录进行更改时发出警报,这指示用户正在尝试规避命令日志记录。 - instanceId
capsule8-alerts-dataplane BPF Program Executed 检测一些类型的内核后门程序。 加载新的 Berkeley 数据包筛选器 (BPF) 程序可能指示攻击者正在加载基于 BPF 的根工具包,以获得持久性并避免检测。 如果进程已是正在进行的事件的一部分,则当进程加载新的特权 BPF 程序时发出警报。 - instanceId
capsule8-alerts-dataplane Kernel Module Loaded 攻击者通常会加载恶意内核模块 (rootkit),从而逃避检测并在被入侵的节点上保持持久性。 加载内核模块(如果程序已是正在进行的事件的一部分)时发出警报。 - instanceId
capsule8-alerts-dataplane Suspicious Program Name Executed-Space After File 攻击者可能会创建或重命名恶意二进制文件,从而在名称末尾包含空格以模拟合法的系统程序或服务。 在执行程序名称后面带有空格的程序时发出警报。 - instanceId
capsule8-alerts-dataplane Illegal Elevation Of Privileges 内核特权提升攻击通常使无特权用户无需通过特权更改的标准入口即可获得根特权。 当程序尝试通过异常方式提升特权时发出警报。 这会在具有大量工作负载的节点上发出误报警报。 - instanceId
capsule8-alerts-dataplane Kernel Exploit 常规程序无法访问内部内核函数,如果调用,则强烈表明已执行内核攻击,并且攻击者已完全控制节点。 当内核函数意外返回到用户空间时发出警报。 - instanceId
capsule8-alerts-dataplane Processor-Level Protections Disabled SMEP 和 SMAP 是处理器级保护,会增加内核攻击成功的难度,禁用这些限制是内核攻击中常见的早期步骤。 当程序篡改内核 SMEP/SMAP 配置时发出警报。 - instanceId
capsule8-alerts-dataplane Container Escape via Kernel Exploitation 当程序使用容器转义攻击中常用的内核函数时发出警报,表明攻击者正在将特权从容器访问提升到节点访问。 - instanceId
capsule8-alerts-dataplane Privileged Container Launched 特权容器可直接访问主机资源,导致在遭到入侵时产生更大的影响。 当启动特权容器时发出警报(如果该容器不是已知的 kube-proxy 等特权映像)。 这可能会为合法特权容器发出不需要的警报。 - instanceId
capsule8-alerts-dataplane Userland Container Escape 许多容器转义会强制主机执行容器内二进制文件,导致攻击者获得对受影响节点的完全控制。 从容器外部执行容器创建的文件时发出警报。 - instanceId
capsule8-alerts-dataplane AppArmor Disabled In Kernel 某些 AppArmor 属性的修改只能在内核中发生,表明 AppArmor 已被内核攻击或 rootkit 禁用。 当 AppArmor 状态从传感器启动时检测到的 AppArmor 配置发生更改时发出警报。 - instanceId
capsule8-alerts-dataplane AppArmor Profile Modified 攻击者可能会尝试禁用 AppArmor 配置文件的强制执行,作为逃避检测的一部分。 如果修改 AppArmor 配置文件的命令不是由用户在 SSH 会话中执行的,则在执行该命令时发出警报。 - instanceId
capsule8-alerts-dataplane Boot Files Modified 如果受信任的源(例如,包管理器或配置管理工具 )未执行,修改启动文件可能表明攻击者正在修改内核或其选项以获取对主机的永久访问权限。 在对 /boot 中的文件文件进行更改时发出警报,这指示安装新的内核或启动配置。 - instanceId
capsule8-alerts-dataplane Log Files Deleted 日志管理工具未执行的日志删除可能表明攻击者正在尝试删除入侵指标。 在删除系统日志文件时发出警报。 - instanceId
capsule8-alerts-dataplane New File Executed 从系统更新程序以外的源新建的文件可能是后门程序、内核攻击或攻击链的一部分。 当执行在 30 分钟内创建或修改的文件时发出警报(不包括由系统更新程序创建的文件)。 - instanceId
capsule8-alerts-dataplane Root Certificate Store Modified 修改根证书存储可能表明已安装恶意证书颁发机构,从而允许拦截网络流量或绕过代码签名验证。 在系统 CA 证书存储发生更改时发出警报。 - instanceId
capsule8-alerts-dataplane Setuid/Setgid Bit Set On File 设置setuid/setgid位可用于为节点上的特权提升提供永久性方法。 在使用 chmod 系列系统调用在文件上设置 setuidsetgid 位时发出警报。 - instanceId
capsule8-alerts-dataplane Hidden File Created 攻击者通常会创建隐藏文件,以掩盖被入侵主机上的工具和有效负载。 当与正在进行的事件关联的进程创建隐藏文件时发出警报。 - instanceId
capsule8-alerts-dataplane Modification Of Common System Utilities 每当运行这些实用工具时,攻击者都可能会修改系统实用工具以执行恶意有效负载。 在未经授权的进程修改常见系统实用工具时发出警报。 - instanceId
capsule8-alerts-dataplane Network Service Scanner Executed 攻击者或恶意用户可能会使用这些程序调查连接的网络,以查找要入侵的其他节点。 在执行常见网络扫描程序工具时发出警报。 - instanceId
capsule8-alerts-dataplane Network Service Created 攻击者可能会启动新的网络服务,从而在入侵后轻松访问主机。 如果程序已是正在进行的事件的一部分,则当程序启动新的网络服务时发出警报。 - instanceId
capsule8-alerts-dataplane Network Sniffing Program Executed 攻击者或恶意用户可能会执行网络探查命令以捕获凭据、个人身份信息 (PII) 或其他敏感信息。 在执行支持网络捕获的程序时发出警报。 - instanceId
capsule8-alerts-dataplane Remote File Copy Detected 使用文件传输工具可能表明攻击者正在尝试将工具集移动到其他主机或将数据泄露到远程系统。 当执行与远程文件复制关联的程序(如果该程序已是正在进行的事件的一部分)时发出警报。 - instanceId
capsule8-alerts-dataplane Unusual Outbound Connection Detected 命令和控制通道和加密币矿工通常会在异常端口上新建出站网络连接。 当程序在不常用端口上启动新连接时发出警报(如果程序已是正在进行的事件的一部分)。 - instanceId
capsule8-alerts-dataplane Data Archived Via Program 获取对系统的访问权限后,攻击者可能会创建文件压缩存档以减小数据大小用于泄漏。 如果数据压缩程序已是正在进行的事件的一部分,则在执行数据压缩程序时发出警报。 - instanceId
capsule8-alerts-dataplane Process Injection 使用进程注入技术通常表明用户正在调试程序,但也可能表明攻击者正在从其他进程中读取机密或将代码注入其他进程。 当程序使用 ptrace(调试)机制与其他进程交互时发出警报。 - instanceId
capsule8-alerts-dataplane Account Enumeration Via Program 攻击者通常会使用帐户枚举程序以确定其访问级别,并查看其他用户当前是否已登录到节点。 当执行与帐户枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 - instanceId
capsule8-alerts-dataplane File and Directory Discovery Via Program 浏览文件系统是攻击者在攻击后常见的行为,以查找所需的凭据和数据。 当执行与文件和目录枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 - instanceId
capsule8-alerts-dataplane Network Configuration Enumeration Via Program 攻击者可以询问本地网络并路由信息,从而在横向移动前确定相邻主机和网络。 当执行与网络配置枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 - instanceId
capsule8-alerts-dataplane Process Enumeration Via Program 攻击者通常会列出正在运行的程序,从而确定节点的用途以及是否有任何安全或监视工具。 当执行与进程枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 - instanceId
capsule8-alerts-dataplane System Information Enumeration Via Program 攻击者通常执行系统枚举命令以确定 Linux 内核和发行版本和功能,通常用于确定节点是否受特定漏洞的影响。 当执行与系统信息枚举关联的程序(如果程序已是正在进行的事件的一部分)时发出警报。 - instanceId
capsule8-alerts-dataplane Scheduled Tasks Modified Via Program 修改计划任务是在被入侵的节点上建立持久性的常用方法。 在使用 crontabatbatch 命令修改计划任务配置时发出警报。 - instanceId
capsule8-alerts-dataplane Systemctl Usage Detected 对系统单元的更改可能导致放松或禁用安全控制,或者安装恶意服务。 当使用 systemctl 命令修改系统单元时发出警报。 - instanceId
capsule8-alerts-dataplane User Execution Of su Command 显式升级到根用户会降低将特权活动关联到特定用户的能力。 在执行 su 命令时发出警报。 - instanceId
capsule8-alerts-dataplane User Execution Of sudo Command 在执行 sudo 命令时发出警报。 - instanceId
capsule8-alerts-dataplane User Command History Cleared 删除历史记录文件并不常见,通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。 在删除命令行历史记录文件时发出警报。 - instanceId
capsule8-alerts-dataplane New System User Added 攻击者可能会向主机新增用户,从而提供可靠的访问方法。 如果系统更新程序未添加新用户实体,则在向本地帐户管理文件 /etc/passwd 添加新用户实体时发出警报。 - instanceId
capsule8-alerts-dataplane Password Database Modification 攻击者可以直接修改与标识相关的文件,从而将新用户添加到系统。 在与更新现有用户信息无关的程序修改与用户密码相关的文件时发出警报。 - instanceId
capsule8-alerts-dataplane SSH Authorized Keys Modification 新增 SSH 公钥是获取对被入侵主机的持久访问权限的常用方法。 如果程序已是正在进行的事件的一部分,则在观察到尝试写入用户的 SSH authorized_keys文件时发出警报。 - instanceId
capsule8-alerts-dataplane User Account Created Via CLI 在被入侵的节点上建立持久性时,攻击者通常会新增用户。 当标识管理程序由包管理器以外的程序执行时发出警报。 - instanceId
capsule8-alerts-dataplane User Configuration Changes 删除历史记录文件并不常见,通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。 在删除命令行历史记录文件时发出警报。 - instanceId
capsule8-alerts-dataplane New System User Added 用户配置文件和配置文件通常作为持久性方法进行修改,以便每当用户登录时执行程序。 当.bash_profilebashrc(以及相关文件)由系统更新工具以外的程序修改时发出警报。 - instanceId

防病毒监视事件

注意

这些审核日志中的responseJSON 对象始终具有包含一行原始扫描结果的result字段。 每个扫描结果通常由多个审核日志记录表示,每个记录对应原始扫描输出的每一行。 有关此文件中可能出现的内容的详细信息,请参阅以下第三方文档

以下clamAVScanService-dataplane事件在工作区级别记录。

服务 操作 说明 请求参数
clamAVScanService-dataplane clamAVScanAction 防病毒监视执行扫描。 将为原始扫描输出的每一行生成日志。 - instanceId

弃用的日志事件

Databricks 已弃用以下 databrickssql 诊断事件:

  • createAlertDestination(现在为 createNotificationDestination
  • deleteAlertDestination(现在为 deleteNotificationDestination
  • updateAlertDestination(现在为 updateNotificationDestination
  • muteAlert
  • unmuteAlert

SQL 终结点日志

如果使用弃用的 SQL 终结点 API(SQL 仓库之前的名称)创建 SQL 仓库,则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。 除了名称,这些事件与 SQL 仓库事件均相同。 若要查看这些事件的说明和请求参数,请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig