诊断日志参考
注意
此功能需要高级计划。
本文提供了审核日志服务和事件的综合参考。 这些服务的可用性取决于你如何访问日志:
- 审核日志系统表记录本文列出的所有事件和服务。
- Azure Monitor 的诊断设置服务不会记录所有这些服务。 Azure 的诊断设置中不可用的服务会相应地进行标记。
注意
Azure Databricks 保留审核日志的副本最多 1 年,以便进行安全和欺诈分析。
诊断日志服务
默认情况下,诊断日志中记录以下服务及其事件。
注意
工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure 诊断日志不包括帐户级别事件。
工作区级服务
服务名称 | 说明 |
---|---|
accounts | 与帐户、用户、组和 IP 访问列表相关的事件。 |
clusters | 与群集相关的事件。 |
clusterPolicies | 与群集策略相关的事件。 |
dashboards | 与 AI/BI 仪表板使用相关的事件。 |
databrickssql | DATABRICKS SQL 使用方面的事件。 |
dataMonitoring | 与 Lakehouse 监视相关的事件。 |
dbfs | 与 DBFS 相关的事件。 |
deltaPipelines | 与增量实时表管道相关的事件。 |
featureStore | 与 Databricks 特征存储相关的事件。 |
filesystem | 与文件管理相关的事件,包括使用文件 API 或卷 UI 与文件交互。 |
genie | 与支持人员访问工作区相关的事件。 与 AI/BI Genie 空间无关。 |
gitCredentials | 与 Databricks Git 文件夹的 Git 凭据相关的事件。 另请参阅 repos 。 |
globalInitScripts | 与全局初始化脚本相关的事件。 |
组 | 与帐户和工作区组相关的事件。 |
iamRole | 与 IAM 角色权限相关的事件。 |
引入 | 与文件上传相关的事件。 |
instancePools | 与池相关的事件。 |
jobs | 与作业相关的事件。 |
marketplaceConsumer | 与 Databricks 市场中的使用者操作相关的事件。 |
marketplaceProvider | 与 Databricks 市场中的提供者操作相关的事件。 |
mlflowAcledArtifact | 与 ACL ML 流项目相关的事件。 |
mlflowExperiment | 与 ML 流试验相关的事件。 |
modelRegistry | 与模型注册表相关的事件。 |
笔记本 | 与笔记本相关的事件。 |
partnerConnect | 与 Partner Connect 相关的事件。 |
predictiveOptimization | 与预测性优化相关的事件。 |
remoteHistoryService | 与添加删除 GitHub 凭据相关的事件。 |
repos | 与 Databricks Git 文件夹相关的事件。 另请参阅 gitCredentials 。 |
机密 | 与机密相关的事件。 |
serverlessRealTimeInference | 与模型服务相关的事件。 |
sqlPermissions | 与旧版 Hive 元存储表访问控制相关的事件。 |
ssh | 与 SSH 访问相关的事件。 |
vectorSearch | 与矢量搜索相关的事件。 |
webTerminal | 与Web 终端功能相关的事件。 |
工作区 | 与工作区相关的事件。 |
帐户级服务
帐户级审核日志可用于以下服务:
服务名称 | 说明 |
---|---|
accountBillableUsage | 与帐户控制台中的计费使用量访问相关的操作。 |
accountsAccessControl | 与帐户级访问控制规则相关的操作。 |
accountsManager | 与网络连接配置相关的操作。 |
budgetPolicyCentral | 与管理 预算策略相关的操作。 |
unityCatalog | 在 Unity 目录中执行的操作。 这包括增量共享事件,请参阅增量共享事件。 |
其他安全监视服务
对于使用合规性安全配置文件(FedRAMP、PCI 和 HIPAA 等合规性标准需要这样的文件)或增强型安全监视的工作区,还有其他服务和关联操作。
这些是工作区级服务,只有当使用合规性安全配置文件或增强的安全监视时,才会在日志中生成:
服务名称 | 说明 |
---|---|
capsule8-alerts-dataplane | 与文件完整性监视相关的操作。 |
clamAVScanService-dataplane | 与防病毒监视相关的操作。 |
诊断日志示例架构
在 Azure Databricks 中,诊断日志以 JSON 格式输出事件。 在 Azure Databricks 中,审核日志以 JSON 格式输出事件。 serviceName
和 actionName
属性标识事件。 命名约定遵循 Databricks REST API。
以下 JSON 示例是用户创建作业时记录的事件的示例:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
诊断日志架构注意事项
- 如果操作花费很长时间,则会单独记录请求和响应,但请求和响应对具有相同的
requestId
。 - 自动化操作(例如,由于自动缩放而重设群集大小,或由于调度而启动作业)由用户
System-User
执行。 - 字段
requestParams
可能会截断。 如果其 JSON 表示形式的大小超过 100 KB,则值会截断,字符串... truncated
会追加到截断的条目。 在截断的映射仍大于 100 KB 的极少数情况下,会改为存在具有空值的单个TRUNCATED
键。
帐户事件
以下是在工作区级别记录的accounts
事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
accounts |
activateUser |
在停用用户后将其重新激活。 请参阅停用工作区中的用户。 | - targetUserName - endpoint - targetUserId |
accounts |
aadBrowserLogin |
用户使用 Microsoft Entra ID 浏览器工作流登录到 Databricks。 | - user |
accounts |
aadTokenLogin |
用户通过 Microsoft Entra ID 令牌登录到 Databricks。 | - user |
accounts |
accountInHouseOAuthClientAuthentication |
OAuth 客户端已经过身份验证。 | - endpoint |
accounts |
activateUser |
管理员将用户从 Azure 门户添加到 Databricks 帐户。 | - warehouse - targetUserName - targetUserId |
accounts |
add |
用户已添加到 Azure Databricks 工作区。 | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
用户已添加到工作区级别组。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
changeDatabricksSqlAcl |
用户的 Databricks SQL 权限已发生更改。 | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
对工作区的权限已发生更改。 | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDbTokenAcl |
更改令牌的权限时。 | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeServicePrincipalAcls |
更改服务主体的权限时。 | - shardName - targetServicePrincipal - resourceId - aclPermissionSet |
accounts |
createGroup |
已创建工作区级别组。 | - endpoint - targetGroupId - targetGroupName |
accounts |
createIpAccessList |
IP 访问列表已添加到工作区。 | - ipAccessListId - userId |
accounts |
deactivateUser |
在工作区中停用用户。 请参阅停用工作区中的用户。 | - targetUserName - endpoint - targetUserId |
accounts |
delete |
已从 Azure Databricks 工作区中删除用户。 | - targetUserId - targetUserName - endpoint |
accounts |
deleteIpAccessList |
已从工作区中删除 IP 访问列表。 | - ipAccessListId - userId |
accounts |
garbageCollectDbToken |
用户对过期的令牌运行垃圾回收命令。 | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
当某人从“用户设置”生成令牌时,或者当服务生成令牌时。 | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
IpAccessDenied |
用户尝试通过被拒绝的 IP 连接到服务。 | - path - userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
用户使用 JWT 登录到 Databricks。 | - user |
accounts |
login |
用户登录到工作区。 | - user |
accounts |
logout |
用户从工作区中注销。 | - user |
accounts |
oidcTokenAuthorization |
通过通用 OIDC/OAuth 令牌授权 API 调用时。 | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
当前未过期的令牌数超过令牌配额时 | |
accounts |
removeAdmin |
用户被撤销工作区管理员权限。 | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
已从工作区中移除组。 | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
已从组中移除用户。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
revokeDbToken |
从工作区中删除用户的令牌。 可以因从 Databricks 帐户中删除用户而触发。 | - userId |
accounts |
setAdmin |
用户被授予帐户管理员权限。 | - endpoint - targetUserName - targetUserId |
accounts |
tokenLogin |
用户使用令牌登录到 Databricks。 | - tokenId - user |
accounts |
updateIpAccessList |
IP 访问列表已发生更改。 | - ipAccessListId - userId |
accounts |
updateUser |
对用户的帐户进行了更改。 | - warehouse - targetUserName - targetUserId |
accounts |
validateEmail |
当用户在创建帐户后验证其电子邮件时。 | - endpoint - targetUserName - targetUserId |
群集事件
以下是在工作区级别记录的cluster
事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
clusters |
changeClusterAcl |
用户更改群集 ACL。 | - shardName - aclPermissionSet - targetUserId - resourceId |
clusters |
create |
用户创建群集。 | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
createResult |
群集创建结果。 与 create 结合使用。 |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
delete |
群集已终止。 | - cluster_id |
clusters |
deleteResult |
群集终止结果。 与 delete 结合使用。 |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
edit |
用户对群集设置进行更改。 这会记录除群集大小更改或自动缩放行为更改之外的所有更改。 | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
permanentDelete |
已从用户界面中删除群集。 | - cluster_id |
clusters |
resize |
重设群集大小。 这会记录在正在运行的群集上,其中唯一更改的属性是群集大小或自动缩放行为。 | - cluster_id - num_workers - autoscale |
clusters |
resizeResult |
重设群集大小的结果。 与 resize 结合使用。 |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
restart |
用户重启正在运行的群集。 | - cluster_id |
clusters |
restartResult |
群集重启的结果。 与 restart 结合使用。 |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
start |
用户启动群集。 | - init_scripts_safe_mode - cluster_id |
clusters |
startResult |
群集启动结果。 与 start 结合使用。 |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
群集库事件
以下是在工作区级别记录的clusterLibraries
事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
clusterLibraries |
installLibraries |
用户在群集上安装库。 | - cluster_id - libraries |
clusterLibraries |
uninstallLibraries |
用户卸载群集上的库。 | - cluster_id - libraries |
clusterLibraries |
installLibraryOnAllClusters |
工作区管理员计划在所有群集上安装库。 | - user - library |
clusterLibraries |
uninstallLibraryOnAllClusters |
工作区管理员从列表中移除要安装在所有群集上的库。 | - user - library |
群集策略事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下是在工作区级别记录的clusterPolicies
事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
clusterPolicies |
create |
用户创建了群集策略。 | - name |
clusterPolicies |
edit |
用户编辑了群集策略。 | - policy_id - name |
clusterPolicies |
delete |
用户删除了群集策略。 | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
工作区管理员更改群集策略的权限。 | - shardName - targetUserId - resourceId - aclPermissionSet |
仪表板事件
以下是在工作区级别记录的dashboards
事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
dashboards |
getDashboard |
用户通过以下方式访问仪表板的草稿版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 只有工作区用户可以访问仪表板的草稿版本。 | - dashboard_id |
dashboards |
getPublishedDashboard |
用户通过以下方式访问仪表板的已发布版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 包括工作区用户和帐户用户的活动。 不包括使用计划电子邮件接收仪表板的 PDF 快照。 | - dashboard_id - credentials_embedded |
dashboards |
executeQuery |
用户从仪表板执行查询。 | - dashboard_id - statement_id |
dashboards |
cancelQuery |
用户从仪表板取消查询。 | - dashboard_id - statement_id |
dashboards |
getQueryResult |
用户从仪表板接收查询结果。 | - dashboard_id - statement_id |
dashboards |
sendDashboardSnapshot |
仪表板的 PDF 快照是通过计划的电子邮件发送的。 请求参数值取决于接收者的类型。 对于 Databricks 通知目标,仅显示 destination_id 。 对于 Databricks 用户,显示订阅者的用户 ID 和电子邮件地址。 如果接收者是电子邮件地址,则仅显示电子邮件地址。 |
- dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id ,email_address } |
dashboards |
getDashboardDetails |
用户访问草稿仪表板的详细信息,例如数据集和小组件。 当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时,始终会发出 getDashboardDetails 。 |
- dashboard_id |
dashboards |
createDashboard |
用户使用 UI 或 API 创建新的 AI/BI 仪表板。 | - dashboard_id |
dashboards |
updateDashboard |
用户使用 UI 或 API 更新 AI/BI 仪表板。 | - dashboard_id |
dashboards |
cloneDashboard |
用户克隆 AI/BI 仪表板。 | - source_dashboard_id - new_dashboard_id |
dashboards |
publishDashboard |
用户使用 UI 或 API 在提供或不提供嵌入凭据的情况下发布 AI/BI 仪表板。 | - dashboard_id - credentials_embedded - warehouse_id |
dashboards |
unpublishDashboard |
用户使用 UI 或 API 取消发布已发布的 AI/BI 仪表板。 | - dashboard_id |
dashboards |
trashDashboard |
用户使用 UI 或 API 移动 AI/BI 仪表板。 | - dashboard_id |
dashboards |
restoreDashboard |
用户从回收站还原 AI/BI 仪表板。 | - dashboard_id |
dashboards |
migrateDashboard |
用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。 | - source_dashboard_id - new_dashboard_id |
dashboards |
createSchedule |
用户创建电子邮件订阅计划。 | - dashboard_id - schedule_id |
dashboards |
updateSchedule |
用户更新 AI/BI 仪表板的计划。 | - dashboard_id - schedule_id |
dashboards |
deleteSchedule |
用户删除 AI/BI 仪表板的计划。 | - dashboard_id - schedule_id |
dashboards |
createSubscription |
用户为电子邮件目标订阅 AI/BI 仪表板计划。 | - dashboard_id - schedule_id - schedule |
dashboards |
deleteSubscription |
用户从 AI/BI 仪表板计划中删除电子邮件目标。 | - dashboard_id - schedule_id |
Databricks SQL 事件
以下是在工作区级别记录的databrickssql
事件。
注意
如果使用旧版 SQL 终结点 API 管理 SQL 仓库,SQL 仓库审核事件将具有不同的操作名称。 请参阅 SQL 终结点日志。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
databrickssql |
addDashboardWidget |
小组件已添加到仪表板。 | - dashboardId - widgetId |
databrickssql |
cancelQueryExecution |
从 SQL 编辑器 UI 取消查询执行。 这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。 | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
仓库管理员更新对 SQL 仓库的权限。 | - aclPermissionSet - resourceId - shardName - targetUserId |
databrickssql |
changePermissions |
用户更新对对象的权限。 | - granteeAndPermission - objectId - objectType |
databrickssql |
cloneDashboard |
用户克隆仪表板。 | - dashboardId |
databrickssql |
commandSubmit |
仅在详细的审核日志中。 在命令提交到 SQL 仓库时生成,无论请求的来源如何。 | - warehouseId - commandId - validation - commandText |
databrickssql |
commandFinish |
仅在详细的审核日志中。 在 SQL 仓库上的命令完成或取消时生成,无论取消请求的来源如何。 | - warehouseId - commandId |
databrickssql |
createAlert |
用户创建警报。 | - alertId |
databrickssql |
createNotificationDestination |
工作区管理员创建通知目标。 | - notificationDestinationId - notificationDestinationType |
databrickssql |
createDashboard |
用户创建仪表板。 | - dashboardId |
databrickssql |
createDataPreviewDashboard |
用户创建数据预览仪表板。 | - dashboardId |
databrickssql |
createWarehouse |
具有群集创建权利的用户创建 SQL 仓库。 | - auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides |
databrickssql |
createQuery |
用户新建查询。 | - queryId |
databrickssql |
createQueryDraft |
用户创建查询草稿。 | - queryId |
databrickssql |
createQuerySnippet |
用户创建查询片段。 | - querySnippetId |
databrickssql |
createSampleDashboard |
用户创建示例仪表板。 | - sampleDashboardId |
databrickssql |
createVisualization |
用户使用 SQL 编辑器生成可视化效果。 排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。 | - queryId - visualizationId |
databrickssql |
deleteAlert |
用户通过警报界面或 API 删除警报。 从文件浏览器 UI 中排除删除项。 | - alertId |
databrickssql |
deleteNotificationDestination |
工作区管理员删除通知目标。 | - notificationDestinationId |
databrickssql |
deleteDashboard |
用户通过仪表板界面或 API 删除仪表板。 通过文件浏览器 UI 排除删除项。 | - dashboardId |
databrickssql |
deleteDashboardWidget |
用户删除仪表板小组件。 | - widgetId |
databrickssql |
deleteWarehouse |
仓库管理员删除 SQL 仓库。 | - id |
databrickssql |
deleteQuery |
用户通过查询界面或 API 删除查询。 通过文件浏览器 UI 排除删除项。 | - queryId |
databrickssql |
deleteQueryDraft |
用户删除查询草稿。 | - queryId |
databrickssql |
deleteQuerySnippet |
用户删除查询片段。 | - querySnippetId |
databrickssql |
deleteVisualization |
用户从 SQL 编辑器的查询中删除可视化效果。 | - visualizationId |
databrickssql |
downloadQueryResult |
用户从 SQL 编辑器下载查询结果。 从仪表板中排除下载项。 | - fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId |
databrickssql |
editWarehouse |
仓库管理员编辑 SQL 仓库。 | - auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags |
databrickssql |
executeAdhocQuery |
由下列项之一生成: - 用户在 SQL 编辑器中运行查询草稿 - 从可视化效果聚合执行查询 - 用户加载仪表板并执行基础查询 |
- dataSourceId |
databrickssql |
executeSavedQuery |
用户运行保存的查询。 | - queryId |
databrickssql |
executeWidgetQuery |
由执行查询以刷新仪表板面板的任何事件生成。 适用事件的一些示例包括: - 刷新单个面板 - 刷新整个仪表板 - 计划的仪表板执行 - 参数或筛选器对超过 64,000 行的内容运行的更改 |
- widgetId |
databrickssql |
favoriteDashboard |
用户收藏仪表板。 | - dashboardId |
databrickssql |
favoriteQuery |
用户收藏查询。 | - queryId |
databrickssql |
forkQuery |
用户克隆查询。 | - originalQueryId - queryId |
databrickssql |
listQueries |
用户打开查询列表页或调用列表查询 API。 | - filter_by - include_metrics - max_results - page_token |
databrickssql |
moveAlertToTrash |
用户将警报移动到回收站。 | - alertId |
databrickssql |
moveDashboardToTrash |
用户将仪表板移动到回收站。 | - dashboardId |
databrickssql |
moveQueryToTrash |
用户将查询移动到回收站。 | - queryId |
databrickssql |
restoreAlert |
用户从回收站还原警报。 | - alertId |
databrickssql |
restoreDashboard |
用户从回收站还原仪表板。 | - dashboardId |
databrickssql |
restoreQuery |
用户从回收站还原查询。 | - queryId |
databrickssql |
setWarehouseConfig |
仓库管理员设置 SQL 仓库的配置。 | - data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
用户请求仪表板的快照。 包括计划的仪表板快照。 | - dashboardId |
databrickssql |
startWarehouse |
SQL 仓库已启动。 | - id |
databrickssql |
stopWarehouse |
仓库管理员停止 SQL 仓库。 排除自动停止的仓库。 | - id |
databrickssql |
transferObjectOwnership |
工作区管理员通过转移对象所有权 API,将仪表板、查询或警报的所有权转让给活动用户。 此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。 | - newOwner - objectId - objectType |
databrickssql |
unfavoriteDashboard |
用户从其收藏夹中移除仪表板。 | - dashboardId |
databrickssql |
unfavoriteQuery |
用户从其收藏夹中移除查询。 | - queryId |
databrickssql |
updateAlert |
用户对警报进行更新。 如果使用 API 转移警报所有权,则会填充 ownerUserName 。 |
- alertId - queryId - ownerUserName |
databrickssql |
updateNotificationDestination |
工作区管理员对通知目标进行更新。 | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
用户对仪表板小组件进行更新。 排除对轴刻度的更改。 适用更新的示例包括: - 对小组件大小或放置的更改 - 添加或删除小组件参数 |
- widgetId |
databrickssql |
updateDashboard |
用户对仪表板属性进行更新。 排除对计划和订阅的更改。 适用更新的示例包括: - 仪表板名称更改 - 对 SQL 仓库的更改 - 对“运行方式”设置的更改 |
- dashboardId |
databrickssql |
updateOrganizationSetting |
工作区管理员对工作区的 SQL 设置进行更新。 | - has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions |
databrickssql |
updateQuery |
用户对查询进行更新。 如果使用 API 转移查询所有权,则会填充 ownerUserName 。 |
- queryId - ownerUserName |
databrickssql |
updateQueryDraft |
用户对查询草稿进行更新。 | - queryId |
databrickssql |
updateQuerySnippet |
用户对查询片段进行更新。 | - querySnippetId |
databrickssql |
updateVisualization |
用户从 SQL 编辑器或仪表板更新可视化效果。 | - visualizationId |
数据监视事件
以下dataMonitoring
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
dataMonitoring |
CreateMonitor |
用户创建监视器。 | - data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log |
dataMonitoring |
UpdateMonitor |
用户对监视器进行更新。 | - data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs |
dataMonitoring |
DeleteMonitor |
用户删除监视器。 | - full_table_name_arg |
dataMonitoring |
RunRefresh |
按计划刷新或手动刷新监视器。 | - full_table_name_arg |
DBFS 事件
下表包括在工作区级别记录的dbfs
事件。
有两种类型的 DBFS 事件:API 调用和操作事件。
DBFS API 事件
仅当通过 DBFS REST API 编写时,才会记录以下 DBFS 审核事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
dbfs |
addBlock |
用户将数据块追加到流。 这与 dbfs/create 结合使用,以将数据流式传输到 DBFS。 | - handle - data_length |
dbfs |
create |
用户打开流以将文件写入 DBF。 | - path - bufferSize - overwrite |
dbfs |
delete |
用户从 DBF 中删除文件或目录。 | - recursive - path |
dbfs |
mkdirs |
用户创建新的 DBFS 目录。 | - path |
dbfs |
move |
用户在 DBF 中将文件从一个位置移到另一个位置。 | - dst - source_path - src - destination_path |
dbfs |
put |
用户通过使用多部分表单 POST 将文件上传到 DBF。 | - path - overwrite |
DBFS 操作事件
以下 DBFS 审核事件发生在计算平面上。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
dbfs |
mount |
用户在特定 DBFS 位置创建装入点。 | - mountPoint - owner |
dbfs |
unmount |
用户移除特定 DBFS 位置的装入点。 | - mountPoint |
增量管道事件
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
deltaPipelines |
changePipelineAcls |
用户更改对管道的权限。 | - shardId - targetUserId - resourceId - aclPermissionSet |
deltaPipelines |
create |
用户创建增量实时表管道。 | - allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon |
deltaPipelines |
delete |
用户删除增量实时表管道。 | - pipeline_id |
deltaPipelines |
edit |
用户编辑增量实时表管道。 | - allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon |
deltaPipelines |
startUpdate |
用户重启增量实时表管道。 | - cause - full_refresh - job_task - pipeline_id |
deltaPipelines |
stop |
用户停止增量实时表管道。 | - pipeline_id |
特征存储事件
以下featureStore
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
featureStore |
addConsumer |
使用者已添加到特征存储。 | - features - job_run - notebook |
featureStore |
addDataSources |
数据源已添加到特征表。 | - feature_table - paths, tables |
featureStore |
addProducer |
生成者已添加到特征表。 | - feature_table - job_run - notebook |
featureStore |
changeFeatureTableAcl |
特征表中的权限已发生更改。 | - aclPermissionSet - resourceId - shardName - targetUserId |
featureStore |
createFeatureTable |
已创建特征表。 | - description - name - partition_keys - primary_keys - timestamp_keys |
featureStore |
createFeatures |
已在特征表中创建特征。 | - feature_table - features |
featureStore |
deleteFeatureTable |
已删除特征表。 | - name |
featureStore |
deleteTags |
已从特征表中删除标记。 | - feature_table_id - keys |
featureStore |
getConsumers |
用户进行调用以获取特征表中的使用者。 | - feature_table |
featureStore |
getFeatureTable |
用户进行调用以获取特征表。 | - name |
featureStore |
getFeatureTablesById |
用户进行调用以获取特征表 ID。 | - ids |
featureStore |
getFeatures |
用户进行调用以获取特征。 | - feature_table - max_results |
featureStore |
getModelServingMetadata |
用户进行调用以获取模型服务元数据。 | - feature_table_features |
featureStore |
getOnlineStore |
用户进行调用以获取在线商店详细信息。 | - cloud - feature_table - online_table - store_type |
featureStore |
getTags |
用户进行调用以获取特征表的标记。 | - feature_table_id |
featureStore |
publishFeatureTable |
已发布特征表。 | - cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix |
featureStore |
searchFeatureTables |
用户搜索特征表。 | - max_results - page_token - text |
featureStore |
setTags |
已将标记添加到特征表。 | - feature_table_id - tags |
featureStore |
updateFeatureTable |
已更新特征表。 | - description - name |
文件事件
以下filesystem
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
filesystem |
filesGet |
用户使用文件 API 或卷 UI 下载文件。 | - path - transferredSize |
filesystem |
filesPut |
用户使用文件 API 或卷 UI 上传文件。 | - path - receivedSize |
filesystem |
filesDelete |
用户使用文件 API 或卷 UI 删除文件。 | - path |
filesystem |
filesHead |
用户使用文件 API 或卷 UI 获取有关文件的信息。 | - path |
Genie 事件
以下genie
事件在工作区级别记录。
注意
此服务与 AI/BI Genie 空间无关。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
genie |
databricksAccess |
Databricks 人员有权访问客户环境。 | - duration - approver - reason - authType - user |
Git 凭据事件
以下gitCredentials
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
gitCredentials |
getGitCredential |
用户获取 git 凭据。 | - id |
gitCredentials |
listGitCredentials |
用户列出所有 git 凭据 | 无 |
gitCredentials |
deleteGitCredential |
用户删除 git 凭据。 | - id |
gitCredentials |
updateGitCredential |
用户更新 git 凭据。 | - id - git_provider - git_username |
gitCredentials |
createGitCredential |
用户创建 git 凭据。 | - git_provider - git_username |
全局初始化脚本事件
以下globalInitScripts
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
globalInitScripts |
create |
工作区管理员创建全局初始化脚本。 | - name - position - script-SHA256 - enabled |
globalInitScripts |
update |
工作区管理员更新全局初始化脚本。 | - script_id - name - position - script-SHA256 - enabled |
globalInitScripts |
delete |
工作区管理员删除全局初始化脚本。 | - script_id |
组事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下groups
事件在工作区级别记录。 这些操作与旧 ACL 组相关。 有关与帐户级别和工作区级别组相关的操作,请参阅帐户事件和帐户级别帐户事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
groups |
addPrincipalToGroup |
管理员将用户添加到组。 | - user_name - parent_name |
groups |
createGroup |
管理员创建组。 | - group_name |
groups |
getGroupMembers |
管理员查看组成员。 | - group_name |
groups |
getGroups |
管理员查看组列表 | 无 |
groups |
getInheritedGroups |
管理员查看继承的组 | 无 |
groups |
removeGroup |
管理员移除组。 | - group_name |
IAM 角色事件
以下iamRole
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
iamRole |
changeIamRoleAcl |
工作区管理员更改 IAM 角色的权限。 | - targetUserId - shardName - resourceId - aclPermissionSet |
引入事件
以下ingestion
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
ingestion |
proxyFileUpload |
用户将文件上传到其 Azure Databricks 工作区。 | - x-databricks-content-length-0 - x-databricks-total-files |
实例池事件
以下instancePools
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
instancePools |
changeInstancePoolAcl |
用户更改实例池的权限。 | - shardName - resourceId - targetUserId - aclPermissionSet |
instancePools |
create |
用户创建实例池。 | - enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes |
instancePools |
delete |
用户删除实例池。 | - instance_pool_id |
instancePools |
edit |
用户编辑实例池。 | - instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes |
作业事件
以下jobs
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
jobs |
cancel |
作业运行已取消。 | - run_id |
jobs |
cancelAllRuns |
用户取消作业的所有运行。 | - job_id |
jobs |
changeJobAcl |
用户更新作业的权限。 | - shardName - aclPermissionSet - resourceId - targetUserId |
jobs |
create |
用户创建作业。 | - spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as |
jobs |
delete |
用户删除作业。 | - job_id |
jobs |
deleteRun |
用户删除作业运行。 | - run_id |
jobs |
getRunOutput |
用户进行 API 调用以获取运行输出。 | - run_id - is_from_webapp |
jobs |
repairRun |
用户修复作业运行。 | - run_id - latest_repair_id - rerun_tasks |
jobs |
reset |
作业已重置。 | - job_id - new_settings |
jobs |
resetJobAcl |
用户请求更改作业的权限。 | - grants - job_id |
jobs |
runCommand |
在启用详细的审核日志时可用。 在作业运行执行笔记本中的命令后发出。 命令对应于笔记本中的单元格。 | - jobId - runId - notebookId - executionTime - status - commandId - commandText |
jobs |
runFailed |
作业运行失败。 | - jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName |
jobs |
runNow |
用户触发按需作业运行。 | - notebook_params - job_id - jar_params - workflow_context |
jobs |
runStart |
在验证和创建群集后启动作业运行时发出。 此事件发出的请求参数取决于作业中的任务类型。 除了列出的参数外,它们还可以包括: - dashboardId (针对 SQL 仪表板任务)- filePath (针对 SQL 文件任务)- notebookPath (针对笔记本任务)- mainClassName (针对 Spark JAR 任务)- pythonFile (针对 Spark JAR 任务)- projectDirectory (针对 dbt 任务)- commands (针对 dbt 任务)- packageName (针对 Python wheel 任务)- entryPoint (针对 Python wheel 任务)- pipelineId (针对管道任务)- queryIds (针对 SQL 查询任务)- alertId (针对 SQL 警报任务) |
- taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName |
jobs |
runSucceeded |
作业运行成功。 | - idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName |
jobs |
runTriggered |
作业计划根据其计划或触发器自动触发。 | - jobId - jobTriggeredType - runId |
jobs |
sendRunWebhook |
在作业开始、完成或失败时发送 Webhook。 | - orgId - jobId - jobWebhookId - jobWebhookEvent - runId |
jobs |
setTaskValue |
用户为任务设置值。 | - run_id - key |
jobs |
submitRun |
用户通过 API 提交一次性运行。 | - shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task |
jobs |
update |
用户编辑作业的设置。 | - job_id - fields_to_remove - new_settings - is_from_dlt |
市场使用者事件
以下marketplaceConsumer
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
marketplaceConsumer |
getDataProduct |
用户通过 Databricks 市场访问数据产品。 | - listing_id - listing_name - share_name - catalog_name - request_context :有关有权访问数据产品的帐户和元存储的信息的阵列 |
marketplaceConsumer |
requestDataProduct |
用户请求访问需要提供者批准的数据产品。 | - listing_id - listing_name - catalog_name - request_context :有关请求访问数据产品的帐户和元存储的信息的阵列 |
市场提供者事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下marketplaceProvider
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
marketplaceProvider |
createListing |
元存储管理员在其提供者配置文件中创建列表。 | - listing :有关列表的详细信息的阵列- request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
updateListing |
元存储管理员更新其提供者配置文件中的列表。 | - id - listing :有关列表的详细信息的阵列- request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
deleteListing |
元存储管理员在其提供者配置文件中删除列表。 | - id - request_context :有关提供者的帐户和元存储的详细信息的阵列 |
marketplaceProvider |
updateConsumerRequestStatus |
元存储管理员批准或拒绝数据产品请求。 | - listing_id - request_id - status - reason - share :有关共享的信息的阵列- request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
createProviderProfile |
元存储管理员创建提供者配置文件。 | - provider :有关共享的信息的阵列- request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
updateProviderProfile |
元存储管理员更新其提供者配置文件。 | - id - provider :有关共享的信息的阵列- request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
deleteProviderProfile |
元存储管理员删除其提供者配置文件。 | - id - request_context :有关提供者的帐户和元存储的信息的阵列 |
marketplaceProvider |
uploadFile |
提供者将文件上传到其提供者配置文件。 | - request_context :有关提供者的帐户和元存储的信息的阵列- marketplace_file_type - display_name - mime_type - file_parent :文件父级详细信息的阵列 |
marketplaceProvider |
deleteFile |
提供者从其提供者配置文件中删除文件。 | - file_id - request_context :有关提供者的帐户和元存储的信息的阵列 |
具有 ACL 事件的 MLflow 项目
以下mlflowAcledArtifact
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
mlflowAcledArtifact |
readArtifact |
用户进行调用以读取项目。 | - artifactLocation - experimentId - runId |
mlflowAcledArtifact |
writeArtifact |
用户进行调用以写入到项目。 | - artifactLocation - experimentId - runId |
MLflow 试验事件
以下mlflowExperiment
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
用户创建 MLflow 试验。 | - experimentId - path - experimentName |
mlflowExperiment |
deleteMlflowExperiment |
用户删除 MLflow 试验。 | - experimentId - path - experimentName |
mlflowExperiment |
moveMlflowExperiment |
用户移动 MLflow 试验。 | - newPath - experimentId - oldPath |
mlflowExperiment |
restoreMlflowExperiment |
用户还原 MLflow 试验。 | - experimentId - path - experimentName |
mlflowExperiment |
renameMlflowExperiment |
用户重命名 MLflow 试验。 | - oldName - newName - experimentId - parentPath |
MLflow 模型注册表事件
以下mlflowModelRegistry
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
modelRegistry |
approveTransitionRequest |
用户批准模型版本阶段转换请求。 | - name - version - stage - archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
用户更新已注册模型的权限。 | - registeredModelId - userId |
modelRegistry |
createComment |
用户发布对模型版本的注释。 | - name - version |
modelRegistry |
createModelVersion |
用户创建模型版本。 | - name - source - run_id - tags - run_link |
modelRegistry |
createRegisteredModel |
用户创建新的已注册模型 | - name - tags |
modelRegistry |
createRegistryWebhook |
用户为模型注册表事件创建 Webhook。 | - orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec |
modelRegistry |
createTransitionRequest |
用户创建模型版本阶段转换请求。 | - name - version - stage |
modelRegistry |
deleteComment |
用户删除对模型版本的注释。 | - id |
modelRegistry |
deleteModelVersion |
用户删除模型版本。 | - name - version |
modelRegistry |
deleteModelVersionTag |
用户删除模型版本标记。 | - name - version - key |
modelRegistry |
deleteRegisteredModel |
用户删除已注册模型 | - name |
modelRegistry |
deleteRegisteredModelTag |
用户删除已注册模型的标记。 | - name - key |
modelRegistry |
deleteRegistryWebhook |
用户删除模型注册表 Webhook。 | - orgId - webhookId |
modelRegistry |
deleteTransitionRequest |
用户取消模型版本阶段转换请求。 | - name - version - stage - creator |
modelRegistry |
finishCreateModelVersionAsync |
已完成异步模型复制。 | - name - version |
modelRegistry |
generateBatchInferenceNotebook |
批处理推理笔记本是自动生成的。 | - userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath |
modelRegistry |
generateDltInferenceNotebook |
增量实时表管道的推理笔记本是自动生成的。 | - userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath |
modelRegistry |
getModelVersionDownloadUri |
用户获取用于下载模型版本的 URI。 | - name - version |
modelRegistry |
getModelVersionSignedDownloadUri |
用户获取用于下载已签名模型版本的 URI。 | - name - version - path |
modelRegistry |
listModelArtifacts |
用户进行调用以列出模型的项目。 | - name - version - path - page_token |
modelRegistry |
listRegistryWebhooks |
用户进行调用以列出模型中的所有注册表 Webhook。 | - orgId - registeredModelId |
modelRegistry |
rejectTransitionRequest |
用户拒绝模型版本阶段转换请求。 | - name - version - stage |
modelRegistry |
renameRegisteredModel |
用户重命名已注册模型 | - name - new_name |
modelRegistry |
setEmailSubscriptionStatus |
用户更新已注册模型的电子邮件订阅状态 | |
modelRegistry |
setModelVersionTag |
用户设置模型版本标记。 | - name - version - key - value |
modelRegistry |
setRegisteredModelTag |
用户设置模型版本标记。 | - name - key - value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
用户更新整个注册表的电子邮件通知状态。 | - orgId - userId - subscriptionStatus |
modelRegistry |
testRegistryWebhook |
用户测试模型注册表 Webhook。 | - orgId - webhookId |
modelRegistry |
transitionModelVersionStage |
用户获取模型版本的所有开放阶段转换请求的列表。 | - name - version - stage - archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
模型注册表 Webhook 由事件触发。 | - orgId - registeredModelId - events - status |
modelRegistry |
updateComment |
用户发布对模型版本的注释的编辑。 | - id |
modelRegistry |
updateRegistryWebhook |
用户更新模型注册表 Webhook。 | - orgId - webhookId |
模型服务事件
以下serverlessRealTimeInference
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
用户更新推理终结点的权限。 | - shardName - targetUserId - resourceId - aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
用户创建模型服务终结点。 | - name - config |
serverlessRealTimeInference |
deleteServingEndpoint |
用户删除模型服务终结点。 | - name |
serverlessRealTimeInference |
disable |
用户为已注册模型禁用模型服务。 | - registered_mode_name |
serverlessRealTimeInference |
enable |
用户为已注册模型启用模型服务。 | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
用户进行调用以获取查询架构预览。 | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
用户更新模型服务终结点。 | - name - served_models - traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
用户更新推理终结点的速率限制。 速率限制仅适用于基础模型 API 的按令牌付费和外部模型终结点。 | - name - rate_limits |
Notebook 事件
以下notebook
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
notebook |
attachNotebook |
笔记本已附加到群集。 | - path - clusterId - notebookId |
notebook |
cloneNotebook |
用户克隆笔记本。 | - notebookId - path - clonedNotebookId - destinationPath |
notebook |
createNotebook |
已创建笔记本。 | - notebookId - path |
notebook |
deleteFolder |
已删除笔记本文件夹。 | - path |
notebook |
deleteNotebook |
已删除笔记本。 | - notebookId - notebookName - path |
notebook |
detachNotebook |
笔记本与群集分离。 | - notebookId - clusterId - path |
notebook |
downloadLargeResults |
用户下载的查询结果太大,无法显示在笔记本中。 | - notebookId - notebookFullPath |
notebook |
downloadPreviewResults |
用户下载查询结果。 | - notebookId - notebookFullPath |
notebook |
importNotebook |
用户导入笔记本。 | - path |
notebook |
moveFolder |
笔记本文件夹已从一个位置移动到另一个位置。 | - oldPath - newPath - folderId |
notebook |
moveNotebook |
笔记本已从一个位置移动到另一个位置。 | - newPath - oldPath - notebookId |
notebook |
renameNotebook |
笔记本已重命名。 | - newName - oldName - parentPath - notebookId |
notebook |
restoreFolder |
删除的文件夹已还原。 | - path |
notebook |
restoreNotebook |
删除的笔记本已还原。 | - path - notebookId - notebookName |
notebook |
runCommand |
在启用详细的审核日志时可用。 在 Databricks 在笔记本中运行命令后发出。 命令对应于笔记本中的单元格。executionTime 以秒为度量单位。 |
- notebookId - executionTime - status - commandId - commandText - commandLanguage |
notebook |
takeNotebookSnapshot |
在运行作业服务或 mlflow 时拍摄笔记本快照。 | - path |
Partner Connect 事件
以下partnerHub
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
工作区管理员设置与合作伙伴解决方案的连接。 | - partner_name |
partnerHub |
deletePartnerConnection |
工作区管理员删除合作伙伴连接。 | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
工作区管理员下载合作伙伴连接文件。 | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
工作区管理员为合作伙伴连接设置资源。 | - partner_name |
预测性优化事件
以下predictiveOptimization
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
predictiveOptimization |
PutMetrics |
记录了预测性优化更新表和工作负荷指标的时间,以便服务可以更智能地计划优化操作。 | - table_metrics_list - start_time - end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
帐户管理员启用或禁用元存储的预测性优化。 | - metastore_id - enable |
远程历史记录服务事件
以下remoteHistoryService
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
用户添加 Github 凭据 | 无 |
remoteHistoryService |
deleteUserGitHubCredentials |
用户删除 Github 凭据 | 无 |
remoteHistoryService |
updateUserGitHubCredentials |
用户更新 Github 凭据 | 无 |
Git 文件夹事件
以下repos
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
repos |
checkoutBranch |
用户签出存储库上的分支。 | - id - branch |
repos |
commitAndPush |
用户提交并推送到存储库。 | - id - message - files - checkSensitiveToken |
repos |
createRepo |
用户在工作区中创建存储库 | - url - provider - path |
repos |
deleteRepo |
用户删除存储库。 | - id |
repos |
discard |
用户放弃提交到存储库。 | - id - file_paths |
repos |
getRepo |
用户进行调用以获取有关单个存储库的信息。 | - id |
repos |
listRepos |
用户进行调用以获取他们对其拥有管理权限的所有存储库。 | - path_prefix - next_page_token |
repos |
pull |
用户从存储库拉取最新提交。 | - id |
repos |
updateRepo |
用户将存储库更新到不同的分支或标记,或更新到同一分支上的最新提交。 | - id - branch - tag - git_url - git_provider |
机密事件
以下secrets
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
secrets |
createScope |
用户创建机密范围。 | - scope - initial_manage_principal - scope_backend_type |
secrets |
deleteAcl |
用户删除机密范围的 ACL。 | - scope - principal |
secrets |
deleteScope |
用户删除机密范围。 | - scope |
secrets |
deleteSecret |
用户从范围中删除机密。 | - key - scope |
secrets |
getAcl |
用户获取机密范围的 ACL。 | - scope - principal |
secrets |
getSecret |
用户从范围中获取机密。 | - key - scope |
secrets |
listAcls |
用户进行调用以列出机密范围的 ACL。 | - scope |
secrets |
listScopes |
用户进行调用以列出机密范围 | 无 |
secrets |
listSecrets |
用户进行调用以列出范围中的机密。 | - scope |
secrets |
putAcl |
用户更改机密范围的 ACL。 | - scope - principal - permission |
secrets |
putSecret |
用户在范围中添加或编辑机密。 | - string_value - key - scope |
SQL 表访问事件
注意
sqlPermissions
服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储。
以下sqlPermissions
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
sqlPermissions |
changeSecurableOwner |
工作区管理员或对象的所有者转让对象所有权。 | - securable - principal |
sqlPermissions |
createSecurable |
用户创建安全对象。 | - securable |
sqlPermissions |
denyPermission |
对象所有者拒绝对安全对象的权限。 | - permission |
sqlPermissions |
grantPermission |
对象所有者授予对安全对象的权限。 | - permission |
sqlPermissions |
removeAllPermissions |
用户删除安全对象。 | - securable |
sqlPermissions |
renameSecurable |
用户重命名安全对象。 | - before - after |
sqlPermissions |
requestPermissions |
用户请求对安全对象的权限。 | - requests |
sqlPermissions |
revokePermission |
对象所有者撤销对其安全对象的权限。 | - permission |
sqlPermissions |
showPermissions |
用户查看安全对象权限。 | - securable - principal |
SSH 事件
以下ssh
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
ssh |
login |
代理通过 SSH 登录到 Spark 驱动程序。 | - containerId - userName - port - publicKey - instanceId |
ssh |
logout |
代理通过 SSH 从 Spark 驱动程序注销。 | - userName - containerId - instanceId |
矢量搜索事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下vectorSearch
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
vectorSearch |
createEndpoint |
用户创建矢量搜索终结点。 | - name - endpoint_type |
vectorSearch |
deleteEndpoint |
用户删除矢量搜索终结点。 | - name |
vectorSearch |
createVectorIndex |
用户创建矢量搜索索引。 | - name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
用户删除矢量搜索索引。 | - name - endpoint_name - delete_embedding_writeback_table |
Web 终端事件
以下webTerminal
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
webTerminal |
startSession |
用户启动 Web 终端会话。 | - socketGUID - clusterId - serverPort - ProxyTargetURI |
webTerminal |
closeSession |
用户关闭 Web 终端会话。 | - socketGUID - clusterId - serverPort - ProxyTargetURI |
工作区事件
以下workspace
事件在工作区级别记录。
服务 | 操作名称 | 说明 | 请求参数 |
---|---|---|---|
workspace |
changeWorkspaceAcl |
对工作区的权限已发生更改。 | - shardName - targetUserId - aclPermissionSet - resourceId |
workspace |
deleteSetting |
已从工作区中删除设置。 | - settingKeyTypeName - settingKeyName - settingTypeName - settingName |
workspace |
fileCreate |
用户在工作区中创建文件。 | - path |
workspace |
fileDelete |
用户删除工作区中的文件。 | - path |
workspace |
fileEditorOpenEvent |
用户打开文件编辑器。 | - notebookId - path |
workspace |
getRoleAssignment |
用户获取工作区的用户角色。 | - account_id - workspace_id |
workspace |
mintOAuthAuthorizationCode |
在工作区级别创建内部 OAuth 授权代码时记录。 | - client_id |
workspace |
mintOAuthToken |
已为工作区创建 OAuth 令牌。 | - grant_type - scope - expires_in - client_id |
workspace |
moveWorkspaceNode |
工作区管理员移动工作区节点。 | - destinationPath - path |
workspace |
purgeWorkspaceNodes |
工作区管理员清除工作区节点。 | - treestoreId |
workspace |
reattachHomeFolder |
为重新添加到工作区的用户重新附加现有主文件夹。 | - path |
workspace |
renameWorkspaceNode |
工作区管理员重命名工作区节点。 | - path - destinationPath |
workspace |
unmarkHomeFolder |
从工作区中移除用户时,会同时移除主文件夹特殊属性。 | - path |
workspace |
updateRoleAssignment |
工作区管理员更新工作区用户的角色。 | - account_id - workspace_id - principal_id |
workspace |
updatePermissionAssignment |
工作区管理员将主体添加到工作区。 | - principal_id - permissions |
workspace |
setSetting |
工作区管理员配置工作区设置。 | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
workspace |
workspaceConfEdit |
工作区管理员对设置进行更新,例如启用详细的审核日志。 | - workspaceConfKeys - workspaceConfValues |
workspace |
workspaceExport |
用户从工作区中导出笔记本。 | - workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
OAuth 客户端在工作区服务中进行身份验证。 | - user |
计费使用量事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下accountBillableUsage
事件在帐户级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
用户通过使用量关系图功能访问了帐户的聚合计费使用量(每日使用量)。 | - account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
用户通过使用量下载功能访问了帐户的详细计费使用量(每个群集的使用量)。 | - account_id - start_month - end_month - with_pii |
帐户级别帐户事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下accounts
事件在帐户级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
OAuth 客户端已经过身份验证。 | - endpoint |
accounts |
accountIpAclsValidationFailed |
IP 权限验证失败。 返回 statusCode 403。 | - sourceIpAddress - user :记录为电子邮件地址 |
accounts |
activateUser |
在停用用户后将其重新激活。 请参阅停用工作区中的用户。 | - targetUserName - endpoint - targetUserId |
accounts |
add |
用户已添加到 Azure Databricks 帐户。 | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
用户已添加到帐户级别组。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
addPrincipalsToGroup |
已使用 SCIM 预配将用户添加到帐户级别组。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
createGroup |
已创建帐户级别组。 | - endpoint - targetGroupId - targetGroupName |
accounts |
deactivateUser |
停用用户。 请参阅停用工作区中的用户。 | - targetUserName - endpoint - targetUserId |
accounts |
delete |
已从 Azure Databricks 帐户中删除用户。 | - targetUserId - targetUserName - endpoint |
accounts |
deleteSetting |
帐户管理员从 Azure Databricks 帐户中移除设置。 | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
garbageCollectDbToken |
用户对过期的令牌运行垃圾回收命令。 | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
用户从“用户设置”生成令牌时,或者当服务生成令牌时。 | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
login |
用户登录到帐户控制台。 | - user |
accounts |
logout |
用户从帐户控制台注销。 | - user |
accounts |
oidcBrowserLogin |
用户使用 OpenID Connect 浏览器工作流登录到其帐户。 | - user |
accounts |
oidcTokenAuthorization |
OIDC 令牌经过身份验证以用于帐户管理员登录。 | - user |
accounts |
removeAccountAdmin |
帐户管理员移除其他用户的帐户管理员权限。 | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
已从帐户中移除组。 | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
已从帐户级别组中移除用户。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
removePrincipalsFromGroup |
已使用 SCIM 预配从帐户级别组移除用户。 | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
setAccountAdmin |
帐户管理员将帐户管理员角色分配给另一个用户。 | - targetUserName - endpoint - targetUserId |
accounts |
setSetting |
帐户管理员更新帐户级别设置。 | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
tokenLogin |
用户使用令牌登录到 Databricks。 | - tokenId - user |
accounts |
updateUser |
帐户管理员更新用户帐户。 | - targetUserName - endpoint - targetUserId |
accounts |
updateGroup |
帐户管理员更新帐户级别组。 | - endpoint - targetGroupId - targetGroupName |
accounts |
validateEmail |
当用户在创建帐户后验证其电子邮件时。 | - endpoint - targetUserName - targetUserId |
帐户级访问控制事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下accountsAccessControl
事件在帐户级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
accountsAccessControl |
updateRuleSet |
更改规则集时。 | - account_id - name - rule_set |
帐户管理事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下accountsManager
事件在帐户级别记录。 这些事件与帐户控制台中的帐户管理员所做的配置有关。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
帐户管理员创建了网络连接配置。 | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
帐户管理员请求有关网络连接配置的详细信息。 | - account_id - network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
帐户管理员列出帐户中的所有网络连接配置。 | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
帐户管理员删除了网络连接配置。 | - account_id - network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
帐户管理员创建了专用终结点规则。 | - account_id - network_connectivity_config_id - azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
帐户管理员请求有关专用终结点规则的详细信息。 | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
帐户管理员列出网络连接配置下的所有专用终结点规则。 | - account_id - network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
帐户管理员删除了专用终结点规则。 | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
帐户管理员更新了专用终结点规则。 | - account_id - network_connectivity_config_id - rule_id - azure_private_endpoint_rule |
预算策略事件
以下 budgetPolicyCentral
事件记录在帐户级别,并且与预算策略相关。 请参阅 具有预算策略的属性无服务器使用情况。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
工作区管理员或计费管理员创建预算策略。 policy_id 新项记录在response 列中。 |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
工作区管理员、计费管理员或策略管理器更新预算策略。 | - policy.policy_id - policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
工作区管理员、计费管理员或策略管理器删除预算策略。 | - policy_id |
Unity Catalog 事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
以下诊断事件与 Unity Catalog 有关。 Delta Sharing 事件也记录在 unityCatalog
服务下。 有关增量共享事件,请参阅增量共享事件。 可以根据事件在工作区级别或帐户级别记录 Unity 目录审核事件。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
unityCatalog |
createMetastore |
帐户管理员创建元存储。 | - name - storage_root - workspace_id - metastore_id |
unityCatalog |
getMetastore |
帐户管理员请求元存储 ID。 | - id - workspace_id - metastore_id |
unityCatalog |
getMetastoreSummary |
帐户管理员请求有关元存储的详细信息。 | - workspace_id - metastore_id |
unityCatalog |
listMetastores |
帐户管理员请求帐户中所有元存储的列表。 | - workspace_id |
unityCatalog |
updateMetastore |
帐户管理员对元存储进行更新。 | - id - owner - workspace_id - metastore_id |
unityCatalog |
deleteMetastore |
帐户管理员删除元存储。 | - id - force - workspace_id - metastore_id |
unityCatalog |
updateMetastoreAssignment |
帐户管理员对元存储的工作区分配进行更新。 | - workspace_id - metastore_id - default_catalog_name |
unityCatalog |
createExternalLocation |
帐户管理员创建外部位置。 | - name - skip_validation - url - credential_name - workspace_id - metastore_id |
unityCatalog |
getExternalLocation |
帐户管理员请求有关外部位置的详细信息。 | - name_arg - include_browse - workspace_id - metastore_id |
unityCatalog |
listExternalLocations |
帐户管理员请求帐户中所有外部位置的列表。 | - url - max_results - workspace_id - metastore_id |
unityCatalog |
updateExternalLocation |
帐户管理员对外部位置进行更新。 | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteExternalLocation |
帐户管理员删除外部位置。 | - name_arg - force - workspace_id - metastore_id |
unityCatalog |
createCatalog |
用户创建目录。 | - name - comment - workspace_id - metastore_id |
unityCatalog |
deleteCatalog |
用户删除目录。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
getCatalog |
用户请求有关目录的详细信息。 | - name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
updateCatalog |
用户更新目录。 | - name_arg - isolation_mode - comment - workspace_id - metastore_id |
unityCatalog |
listCatalog |
用户进行调用以列出元存储中的所有目录。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
createSchema |
用户创建架构。 | - name - catalog_name - comment - workspace_id - metastore_id |
unityCatalog |
deleteSchema |
用户删除架构。 | - full_name_arg - force - workspace_id - metastore_id |
unityCatalog |
getSchema |
用户请求有关架构的详细信息。 | - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
listSchema |
用户请求目录中所有架构的列表。 | - catalog_name |
unityCatalog |
updateSchema |
用户更新架构。 | - full_name_arg - name - workspace_id - metastore_id - comment |
unityCatalog |
createStagingTable |
- name - catalog_name - schema_name - workspace_id - metastore_id |
|
unityCatalog |
createTable |
用户创建表。 请求参数因创建的表的类型而异。 | - name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment |
unityCatalog |
deleteTable |
用户删除表。 | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
getTable |
用户请求有关表的详细信息。 | - include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
用户进行调用以列出架构中的所有表。 | - catalog_name - schema_name - workspace_id - metastore_id - include_browse |
unityCatalog |
listTableSummaries |
用户获取元存储中架构和目录的表的摘要数组。 | - catalog_name - schema_name_pattern - workspace_id - metastore_id |
unityCatalog |
updateTables |
用户对表进行更新。 显示的请求参数因更新的表的类型而异。 | - full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id |
unityCatalog |
createStorageCredential |
帐户管理员创建存储凭据。 你可能会看到基于云提供商凭据的其他请求参数。 | - name - comment - workspace_id - metastore_id |
unityCatalog |
listStorageCredentials |
帐户管理员进行调用以列出帐户中的所有存储凭据。 | - workspace_id - metastore_id |
unityCatalog |
getStorageCredential |
帐户管理员请求有关存储凭据的详细信息。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateStorageCredential |
帐户管理员对存储凭据进行更新。 | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteStorageCredential |
帐户管理员删除存储凭据。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
generateTemporaryTableCredential |
每当为表授予临时凭据时记录。 可以使用此事件来确定谁查询了什么内容以及查询时间。 | - credential_id - credential_type - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id |
unityCatalog |
generateTemporaryPathCredential |
每当为路径授予临时凭据时记录。 | - url - operation - make_path_only_parent - workspace_id - metastore_id |
unityCatalog |
getPermissions |
用户进行调用以获取安全对象的权限详细信息。 此调用不会返回继承的权限,仅返回显示分配的权限。 | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getEffectivePermissions |
用户进行调用以获取安全对象的所有权限详细信息。 有效的权限调用会返回显式分配的权限和继承的权限。 | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
updatePermissions |
用户更新对安全对象的权限。 | - securable_type - changes - securable_full_name - workspace_id - metastore_id |
unityCatalog |
metadataSnapshot |
用户从以前的表版本查询元数据。 | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
用户从以前的表版本查询元数据和权限。 | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
updateMetadataSnapshot |
用户从以前的表版本更新元数据。 | - table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id |
unityCatalog |
getForeignCredentials |
用户进行调用以获取有关外键的详细信息。 | - securables - workspace_id - metastore_id |
unityCatalog |
getInformationSchema |
用户进行调用以获取有关架构的详细信息。 | - table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id |
unityCatalog |
createConstraint |
用户为表创建约束。 | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
deleteConstraint |
用户删除表的约束。 | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
createPipeline |
用户创建 Unity Catalog 管道。 | - target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id |
unityCatalog |
updatePipeline |
用户更新 Unity Catalog 管道。 | - id_arg - definition_json - id - workspace_id - metastore_id |
unityCatalog |
getPipeline |
用户请求有关 Unity Catalog 管道的详细信息。 | - id - workspace_id - metastore_id |
unityCatalog |
deletePipeline |
用户删除 Unity Catalog 管道。 | - id - workspace_id - metastore_id |
unityCatalog |
deleteResourceFailure |
资源删除失败 | 无 |
unityCatalog |
createVolume |
用户创建 Unity Catalog 卷。 | - name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id |
unityCatalog |
getVolume |
用户进行调用以获取有关 Unity Catalog 卷的信息。 | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
updateVolume |
用户使用 ALTER VOLUME 或 COMMENT ON 调用来更新 Unity Catalog 卷的元数据。 |
- volume_full_name - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteVolume |
用户删除 Unity Catalog 卷。 | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
listVolumes |
用户进行调用以获取架构中所有 Unity Catalog 卷的列表。 | - catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
当用户对卷执行读取或写入操作时,将生成临时凭据。 可以使用此事件来确定谁在何时访问了卷。 | - volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
getTagSecurableAssignments |
提取安全对象的标记分配 | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getTagSubentityAssignments |
提取子实体的标记分配 | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
更新安全对象的标记分配 | - securable_type - securable_full_name - workspace_id - metastore_id - changes |
unityCatalog |
UpdateTagSubentityAssignments |
更新子实体的标记分配 | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes |
unityCatalog |
createRegisteredModel |
用户创建 Unity Catalog 已注册模型。 | - name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id |
unityCatalog |
getRegisteredModel |
用户进行调用以获取有关 Unity Catalog 已注册模型的信息。 | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
updateRegisteredModel |
用户更新 Unity Catalog 已注册模型的元数据。 | - full_name_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteRegisteredModel |
用户删除 Unity Catalog 已注册模型。 | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
listRegisteredModels |
用户进行调用以获取架构中 Unity Catalog 已注册模型的列表,或跨目录和架构列出模型。 | - catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
createModelVersion |
用户在 Unity Catalog 中创建模型版本。 | - catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id |
unityCatalog |
finalizeModelVersion |
在将模型版本文件上传到其存储位置后,用户进行调用以“最终确定”Unity Catalog 模型版本,使其在推理工作流中为只读且可用。 | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersion |
用户发出调用,以获取有关模型版本的详细信息。 | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersionByAlias |
用户发出调用,以使用别名获取有关模型版本的详细信息。 | - full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id |
unityCatalog |
updateModelVersion |
用户更新模型版本的元数据。 | - full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteModelVersion |
用户删除模型版本。 | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
listModelVersions |
用户进行调用以获取已注册模型中的 Unity Catalog 模型版本的列表。 | - catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
当用户在模型版本上执行写入(在初始模型版本创建期间)或读取(在最终确定模型版本后)时,会生成临时凭据。 可使用此事件来确定谁在何时访问了模型版本。 | - full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
setRegisteredModelAlias |
用户在 Unity Catalog 已注册模型上设置别名。 | - full_name_arg - alias_arg - version |
unityCatalog |
deleteRegisteredModelAlias |
用户在 Unity Catalog 已注册模型上删除别名。 | - full_name_arg - alias_arg |
unityCatalog |
getModelVersionByAlias |
用户按别名获取 Unity Catalog 模型版本。 | - full_name_arg - alias_arg |
unityCatalog |
createConnection |
新建了外部连接。 | - name - connection_type - workspace_id - metastore_id |
unityCatalog |
deleteConnection |
删除了外部连接。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
getConnection |
检索了外部连接。 | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateConnection |
更新了外部连接。 | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listConnections |
列出了元存储中的外部连接。 | - workspace_id - metastore_id |
unityCatalog |
createFunction |
用户创建新的函数。 | - function_info - workspace_id - metastore_id |
unityCatalog |
updateFunction |
用户更新函数。 | - full_name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listFunctions |
用户请求特定父目录或架构中所有函数的列表。 | - catalog_name - schema_name - include_browse - workspace_id - metastore_id |
unityCatalog |
getFunction |
用户从父目录或架构请求函数。 | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
deleteFunction |
用户从父目录或架构请求函数。 | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos - metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos - metastore_id |
增量共享事件
注意
此服务无法通过 Azure 诊断设置使用。 启用审核日志系统表来访问这些事件。
增量共享事件包括两个部分:数据提供者帐户中记录的事件和数据接收者帐户中记录的事件。
增量共享提供者事件
以下审核日志事件记录在提供者的帐户中。 接收者执行的操作以 deltaSharing
前缀开头。 其中每个日志还包括 request_params.metastore_id
、管理共享数据的元存储,以及发起该活动的用户的 ID userIdentity.email
。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
unityCatalog |
deltaSharingListShares |
数据接收者请求共享列表。 | - options :此请求提供的分页选项。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingGetShare |
数据接收者请求有关共享的详细信息。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListSchemas |
数据接收者请求共享架构的列表。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- options :此请求提供的分页选项。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListAllTables |
数据接收者请求所有共享表的列表。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListTables |
数据接收者请求共享表的列表。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- options :此请求提供的分页选项。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingGetTableMetadata |
数据接收者请求有关表元数据的详细信息。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- schema :架构的名称。- name :表的名称。- predicateHints :查询中包含的谓词。- limitHints :返回的最大行数。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingGetTableVersion |
数据接收者请求有关表版本的详细信息。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- schema :架构的名称。- name :表的名称。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingQueryTable |
当数据接收者查询共享表时记录。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- schema :架构的名称。- name :表的名称。- predicateHints :查询中包含的谓词。- limitHints :返回的最大行数。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingQueryTableChanges |
当数据接收者查询表的更改数据时记录。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- schema :架构的名称。- name :表的名称。- cdf_options :更改数据馈送选项。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingQueriedTable |
当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关接收者查询的详细信息(请参阅审核和监视数据共享) |
- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingQueriedTableChanges |
当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关收件人查询的详细信息(请参阅 审核和监视数据共享)。 |
- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListNotebookFiles |
数据接收者请求共享笔记本文件的列表。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingQueryNotebookFile |
数据接收者查询共享笔记本文件。 | - file_name :笔记本文件的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListFunctions |
数据接收者请求父架构中函数的列表。 | - share :共享的名称。- schema :函数的父架构名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListAllFunctions |
数据接收者请求所有共享函数的列表。 | - share :共享的名称。- schema :函数的父架构名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListFunctionVersions |
数据接收者请求函数版本列表。 | - share :共享的名称。- schema :函数的父架构名称。- function :函数的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListVolumes |
数据接收者请求架构中共享卷的列表。 | - share :共享的名称。- schema :卷的父架构。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
deltaSharingListAllVolumes |
数据接收者请求所有共享卷。 | - share :共享的名称。- recipient_name :指示执行操作的接收者。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
updateMetastore |
提供者更新其元存储。 | - delta_sharing_scope :值可以为 INTERNAL 或 INTERNAL_AND_EXTERNAL 。- delta_sharing_recipient_token_lifetime_in_seconds :如果存在,则表示接收者令牌生存期已更新。 |
unityCatalog |
createRecipient |
提供者创建数据接收者。 | - name :接收者的名称。- comment :接收者的注释。- ip_access_list.allowed_ip_addresses: 接收者 IP 地址允许列表。 |
unityCatalog |
deleteRecipient |
提供者删除数据接收者。 | - name :接收者的名称。 |
unityCatalog |
getRecipient |
提供者请求有关数据接收者的详细信息。 | - name :接收者的名称。 |
unityCatalog |
listRecipients |
提供者请求其所有数据接收者的列表。 | 无 |
unityCatalog |
rotateRecipientToken |
提供者轮换接收者的令牌。 | - name :接收者的名称。- comment :轮换命令中给定的注释。 |
unityCatalog |
updateRecipient |
提供者更新数据接收者的属性。 | - name :接收者的名称。- updates :在共享中添加或删除的收件人属性的 JSON 表示形式。 |
unityCatalog |
createShare |
提供者更新数据接收者的属性。 | - name :共享的名称。- comment :共享的注释。 |
unityCatalog |
deleteShare |
提供者更新数据接收者的属性。 | - name :共享的名称。 |
unityCatalog |
getShare |
提供者请求有关共享的详细信息。 | - name :共享的名称。- include_shared_objects :请求中是否包含共享的表名。 |
unityCatalog |
updateShare |
提供者添加或移除共享中的数据资产。 | - name :共享的名称。- updates :已在共享中添加或删除的数据资产的 JSON 表示形式。 每一项都包含 action (添加或移除)、name (表的实际名称)、shared_as (资产共享时的名称,如果与实际名称不同),以及 partition_specification (如果提供了分区规范)。 |
unityCatalog |
listShares |
提供者请求其共享的列表。 | 无 |
unityCatalog |
getSharePermissions |
提供者请求有关共享权限的详细信息。 | - name :共享的名称。 |
unityCatalog |
updateSharePermissions |
提供者更新共享的权限。 | - name :共享的名称。- changes 更新的权限的 JSON 表示形式。 每项更改都包含 principal (向其授予或撤消权限的用户或组)、add (已授予的权限列表)、remove (已撤消的权限列表)。 |
unityCatalog |
getRecipientSharePermissions |
提供者请求有关接收者共享权限的详细信息。 | - name :共享的名称。 |
unityCatalog |
getActivationUrlInfo |
提供者请求有关其激活链接上活动的详细信息。 | - recipient_name :打开激活 URL 的接收者的名称。- is_ip_access_denied :如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则值为 true ;如果未拒绝请求,则值为 false 。 sourceIPaddress 是收件人 IP 地址。 |
unityCatalog |
generateTemporaryVolumeCredential |
将为接收者生成临时凭据以访问共享卷。 | - share_name :收件人通过其提出请求的共享名称。- share_id :共享的 ID。- share_owner :共享的所有者。- recipient_name :请求凭据的收件人的名称。- recipient_id :收件人的 ID。- volume_full_name :卷的完整 3 级名称。- volume_id :卷的 ID。- volume_storage_location :卷根的云路径。- operation :READ_VOLUME 或 WRITE_VOLUME 。 对于卷共享,仅支持 READ_VOLUME 。- credential_id :凭据的 ID。- credential_type :凭据的类型。 值始终为 StorageCredential 。- workspace_id :当请求针对共享卷时,值始终为 0 。 |
unityCatalog |
generateTemporaryTableCredential |
将为接收者生成临时凭据以访问共享表。 | - share_name :收件人通过其提出请求的共享名称。- share_id :共享的 ID。- share_owner :共享的所有者。- recipient_name :请求凭据的收件人的名称。- recipient_id :收件人的 ID。- table_full_name :卷的完整 3 级名称。- table_id :表的 ID。- table_url :表根的云路径。- operation :READ 或 READ_WRITE 。- credential_id :凭据的 ID。- credential_type :凭据的类型。 值始终为 StorageCredential 。- workspace_id :当请求针对共享表时,值始终为 0 。 |
增量共享接收者事件
以下事件记录在数据接收者的帐户中。 这些事件记录接收者对共享数据和 AI 资产的访问,以及与提供者管理关联的事件。 其中每个事件还包括以下请求参数:
recipient_name
:数据提供者系统中接收者的名称。metastore_id
:数据提供者系统中元存储的名称。sourceIPAddress
:发起请求的 IP 地址。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
数据接收者请求有关共享表版本的详细信息。 | - share :共享的名称。- schema :表的父架构的名称。- name :表的名称。 |
unityCatalog |
deltaSharingProxyGetTableMetadata |
数据接收者请求有关共享表元数据的详细信息。 | - share :共享的名称。- schema :表的父架构的名称。- name :表的名称。 |
unityCatalog |
deltaSharingProxyQueryTable |
数据接收者查询共享表。 | - share :共享的名称。- schema :表的父架构的名称。- name :表的名称。- limitHints :返回的最大行数。- predicateHints :查询中包含的谓词。- version :表版本(如果启用了更改数据馈送)。 |
unityCatalog |
deltaSharingProxyQueryTableChanges |
数据接收者查询表的更改数据。 | - share :共享的名称。- schema :表的父架构的名称。- name :表的名称。- cdf_options :更改数据馈送选项。 |
unityCatalog |
createProvider |
数据接收者创建提供者对象。 | - name :提供者的名称。- comment :提供者的注释。 |
unityCatalog |
updateProvider |
数据接收者更新提供者对象。 | - name :提供者的名称。- updates :在共享中添加或删除的提供者属性的 JSON 表示形式。 每项都包含 action (添加或移除),并且可以包含 name (新的提供者名称)、owner (新的所有者)和 comment 。 |
unityCatalog |
deleteProvider |
数据接收者删除提供者对象。 | - name :提供者的名称。 |
unityCatalog |
getProvider |
数据接收者请求有关提供者对象的详细信息。 | - name :提供者的名称。 |
unityCatalog |
listProviders |
数据接收者请求提供者列表。 | 无 |
unityCatalog |
activateProvider |
数据接收者激活提供者对象。 | - name :提供者的名称。 |
unityCatalog |
listProviderShares |
数据接收者请求提供者共享的列表。 | - name :提供者的名称。 |
unityCatalog |
generateTemporaryVolumeCredential |
将为接收者生成临时凭据以访问共享卷。 | - share_name :收件人通过其提出请求的共享名称。- volume_full_name :卷的完整 3 级名称。- volume_id :卷的 ID。- operation :READ_VOLUME 或 WRITE_VOLUME 。 对于卷共享,仅支持 READ_VOLUME 。- workspace_id :接收用户请求的工作区的 ID。 |
unityCatalog |
generateTemporaryTableCredential |
将为接收者生成临时凭据以访问共享表。 | - share_name :收件人通过其提出请求的共享名称。- table_full_name :卷的完整 3 级名称。- table_id :表的 ID。- operation :READ 或 READ_WRITE 。- workspace_id :接收用户请求的工作区的 ID。 |
其他安全监视事件
对于经典计算平面中的 Azure Databricks 计算资源(例如群集和 Pro 或经典 SQL 仓库的 VM),以下功能支持其他监视代理:
文件完整性监视事件
以下capsule8-alerts-dataplane
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
用于确认监视器已打开的常规事件。 当前每 10 分钟运行一次。 | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
内存通常标记为可执行文件,以便在应用程序被攻击时允许执行恶意代码。 当程序将堆或堆栈内存权限设置为可执行文件时发出警报。 这可能会导致某些应用程序服务器出现误报。 | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
监视重要系统文件的完整性。 对这些文件进行任何未授权更改时发出警报。 Databricks 在映像上定义特定的系统路径集,这组路径可能会随时间而更改。 | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
对系统单元的更改可能导致放松或禁用安全控制,或者安装恶意服务。 每当 systemd 单元文件被除 systemctl 以外的程序修改时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
重复的程序崩溃可能表明攻击者正在尝试攻击内存损坏漏洞,或者受影响的应用程序中存在稳定性问题。 当单个程序超过 5 个实例通过分段错误发生故障时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
由于容器通常是静态工作负载,此警报可能表明攻击者已入侵容器,并正在尝试安装和运行后门程序。 在容器中执行 30 分钟内创建或修改的文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
内存通常标记为可执行文件,以便在应用程序被攻击时允许执行恶意代码。 当程序将堆或堆栈内存权限设置为可执行文件时发出警报。 这可能会导致某些应用程序服务器出现误报。 | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
交互式 shell 在新式生产基础结构中很少出现。 在使用通常用于反向 shell 的参数启动交互式 shell 时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
逃避命令日志记录是攻击者的常见做法,但也可能表明合法用户正在执行未经授权的操作或试图逃避策略。 在检测到对用户命令历史记录日志记录进行更改时发出警报,这指示用户正在尝试规避命令日志记录。 | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
检测一些类型的内核后门程序。 加载新的 Berkeley 数据包筛选器 (BPF) 程序可能指示攻击者正在加载基于 BPF 的根工具包,以获得持久性并避免检测。 如果进程已是正在进行的事件的一部分,则当进程加载新的特权 BPF 程序时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
攻击者通常会加载恶意内核模块 (rootkit),从而逃避检测并在被入侵的节点上保持持久性。 加载内核模块(如果程序已是正在进行的事件的一部分)时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
攻击者可能会创建或重命名恶意二进制文件,从而在名称末尾包含空格以模拟合法的系统程序或服务。 在执行程序名称后面带有空格的程序时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
内核特权提升攻击通常使无特权用户无需通过特权更改的标准入口即可获得根特权。 当程序尝试通过异常方式提升特权时发出警报。 这会在具有大量工作负载的节点上发出误报警报。 | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
常规程序无法访问内部内核函数,如果调用,则强烈表明已执行内核攻击,并且攻击者已完全控制节点。 当内核函数意外返回到用户空间时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP 和 SMAP 是处理器级保护,会增加内核攻击成功的难度,禁用这些限制是内核攻击中常见的早期步骤。 当程序篡改内核 SMEP/SMAP 配置时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
当程序使用容器转义攻击中常用的内核函数时发出警报,表明攻击者正在将特权从容器访问提升到节点访问。 | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
特权容器可直接访问主机资源,导致在遭到入侵时产生更大的影响。 当启动特权容器时发出警报(如果该容器不是已知的 kube-proxy 等特权映像)。 这可能会为合法特权容器发出不需要的警报。 | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
许多容器转义会强制主机执行容器内二进制文件,导致攻击者获得对受影响节点的完全控制。 从容器外部执行容器创建的文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
某些 AppArmor 属性的修改只能在内核中发生,表明 AppArmor 已被内核攻击或 rootkit 禁用。 当 AppArmor 状态从传感器启动时检测到的 AppArmor 配置发生更改时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
攻击者可能会尝试禁用 AppArmor 配置文件的强制执行,作为逃避检测的一部分。 如果修改 AppArmor 配置文件的命令不是由用户在 SSH 会话中执行的,则在执行该命令时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
如果受信任的源(例如,包管理器或配置管理工具 )未执行,修改启动文件可能表明攻击者正在修改内核或其选项以获取对主机的永久访问权限。 在对 /boot 中的文件文件进行更改时发出警报,这指示安装新的内核或启动配置。 |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
日志管理工具未执行的日志删除可能表明攻击者正在尝试删除入侵指标。 在删除系统日志文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
从系统更新程序以外的源新建的文件可能是后门程序、内核攻击或攻击链的一部分。 当执行在 30 分钟内创建或修改的文件时发出警报(不包括由系统更新程序创建的文件)。 | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
修改根证书存储可能表明已安装恶意证书颁发机构,从而允许拦截网络流量或绕过代码签名验证。 在系统 CA 证书存储发生更改时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
设置setuid/setgid 位可用于为节点上的特权提升提供永久性方法。 在使用 chmod 系列系统调用在文件上设置 setuid 或 setgid 位时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
攻击者通常会创建隐藏文件,以掩盖被入侵主机上的工具和有效负载。 当与正在进行的事件关联的进程创建隐藏文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
每当运行这些实用工具时,攻击者都可能会修改系统实用工具以执行恶意有效负载。 在未经授权的进程修改常见系统实用工具时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
攻击者或恶意用户可能会使用这些程序调查连接的网络,以查找要入侵的其他节点。 在执行常见网络扫描程序工具时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
攻击者可能会启动新的网络服务,从而在入侵后轻松访问主机。 如果程序已是正在进行的事件的一部分,则当程序启动新的网络服务时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
攻击者或恶意用户可能会执行网络探查命令以捕获凭据、个人身份信息 (PII) 或其他敏感信息。 在执行支持网络捕获的程序时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
使用文件传输工具可能表明攻击者正在尝试将工具集移动到其他主机或将数据泄露到远程系统。 当执行与远程文件复制关联的程序(如果该程序已是正在进行的事件的一部分)时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
命令和控制通道和加密币矿工通常会在异常端口上新建出站网络连接。 当程序在不常用端口上启动新连接时发出警报(如果程序已是正在进行的事件的一部分)。 | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
获取对系统的访问权限后,攻击者可能会创建文件压缩存档以减小数据大小用于泄漏。 如果数据压缩程序已是正在进行的事件的一部分,则在执行数据压缩程序时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
使用进程注入技术通常表明用户正在调试程序,但也可能表明攻击者正在从其他进程中读取机密或将代码注入其他进程。 当程序使用 ptrace (调试)机制与其他进程交互时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
攻击者通常会使用帐户枚举程序以确定其访问级别,并查看其他用户当前是否已登录到节点。 当执行与帐户枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
浏览文件系统是攻击者在攻击后常见的行为,以查找所需的凭据和数据。 当执行与文件和目录枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
攻击者可以询问本地网络并路由信息,从而在横向移动前确定相邻主机和网络。 当执行与网络配置枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
攻击者通常会列出正在运行的程序,从而确定节点的用途以及是否有任何安全或监视工具。 当执行与进程枚举关联的程序时发出警报(如果该程序已是正在进行的事件的一部分)。 | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
攻击者通常执行系统枚举命令以确定 Linux 内核和发行版本和功能,通常用于确定节点是否受特定漏洞的影响。 当执行与系统信息枚举关联的程序(如果程序已是正在进行的事件的一部分)时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
修改计划任务是在被入侵的节点上建立持久性的常用方法。 在使用 crontab 、at 或 batch 命令修改计划任务配置时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
对系统单元的更改可能导致放松或禁用安全控制,或者安装恶意服务。 当使用 systemctl 命令修改系统单元时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
显式升级到根用户会降低将特权活动关联到特定用户的能力。 在执行 su 命令时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
在执行 sudo 命令时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
删除历史记录文件并不常见,通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。 在删除命令行历史记录文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
攻击者可能会向主机新增用户,从而提供可靠的访问方法。 如果系统更新程序未添加新用户实体,则在向本地帐户管理文件 /etc/passwd 添加新用户实体时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
攻击者可以直接修改与标识相关的文件,从而将新用户添加到系统。 在与更新现有用户信息无关的程序修改与用户密码相关的文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
新增 SSH 公钥是获取对被入侵主机的持久访问权限的常用方法。 如果程序已是正在进行的事件的一部分,则在观察到尝试写入用户的 SSH authorized_keys 文件时发出警报。 |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
在被入侵的节点上建立持久性时,攻击者通常会新增用户。 当标识管理程序由包管理器以外的程序执行时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
删除历史记录文件并不常见,通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。 在删除命令行历史记录文件时发出警报。 | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
用户配置文件和配置文件通常作为持久性方法进行修改,以便每当用户登录时执行程序。 当.bash_profile 和bashrc (以及相关文件)由系统更新工具以外的程序修改时发出警报。 |
- instanceId |
防病毒监视事件
注意
这些审核日志中的response
JSON 对象始终具有包含一行原始扫描结果的result
字段。 每个扫描结果通常由多个审核日志记录表示,每个记录对应原始扫描输出的每一行。 有关此文件中可能出现的内容的详细信息,请参阅以下第三方文档。
以下clamAVScanService-dataplane
事件在工作区级别记录。
服务 | 操作 | 说明 | 请求参数 |
---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
防病毒监视执行扫描。 将为原始扫描输出的每一行生成日志。 | - instanceId |
弃用的日志事件
Databricks 已弃用以下 databrickssql
诊断事件:
createAlertDestination
(现在为createNotificationDestination
)deleteAlertDestination
(现在为deleteNotificationDestination
)updateAlertDestination
(现在为updateNotificationDestination
)muteAlert
unmuteAlert
SQL 终结点日志
如果使用弃用的 SQL 终结点 API(SQL 仓库之前的名称)创建 SQL 仓库,则相应的审核事件名称将包含单词 Endpoint
而不是 Warehouse
。 除了名称,这些事件与 SQL 仓库事件均相同。 若要查看这些事件的说明和请求参数,请参阅 Databricks SQL 事件中的相应仓库事件。
SQL 终结点事件包括:
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig