共用方式為


診斷記錄參考

注意

此功能需要進階版方案

本文提供了稽核記錄服務和事件的完整參考。 這些服務的可用性取決於您存取記錄的方式:

  • 稽核記錄系統資料表會記錄本文中列出的所有事件和服務。
  • Azure 監視器的診斷設定服務不會記錄全部的這些服務。 Azure 診斷設定上無法使用的服務會有相應的標籤。

注意

Azure Databricks 會針對安全性和詐騙分析目的,保留最長 1 年的稽核記錄複本。

診斷記錄服務

診斷記錄中預設會記錄下列服務及其事件。

注意

工作區層級和帳戶層級指定僅適用於稽核記錄系統資料表。 Azure 診斷記錄不會包含帳戶層級事件。

工作區層級服務

服務名稱 描述
客戶 與帳戶、使用者、群組和 IP 存取清單相關的事件。
叢集 與叢集相關的事件。
clusterPolicies 與叢集原則相關的事件。
儀表板 與 AI/BI 儀表板使用相關的事件。
databrickssql 與 Databricks SQL 的使用相關的事件。
dataMonitoring Lakehouse 監視相關的事件。
dbfs DBFS 相關的事件。
deltaPipelines 差異即時資料表管線相關的事件。
featureStore Databricks 功能存放區相關的事件。
filesystem 與檔案管理相關的事件,包括使用檔案 API 或磁碟區 UI 與檔案互動。
genie 與支援人員存取工作區相關的事件。 與 AI/BI Genie 空間無關。
gitCredentials Databricks Git 資料夾的 Git 認證相關的事件。 請參閱 repos
globalInitScripts 與全域 init 指令碼相關的事件。
群組 與帳戶和工作區群組相關的事件。
iamRole 與 IAM 角色權限相關的事件。
擷取 與檔案上傳相關的事件。
instancePools 集區相關的事件。
jobs 與作業相關的事件。
marketplaceConsumer 與 Databricks Marketplace 中取用者動作相關的事件。
marketplaceProvider 與 Databricks Marketplace 中提供者動作相關的事件。
mlflowAcledArtifact 與具有 ACL 的 ML Flow 成品相關的事件。
mlflowExperiment 與 ML Flow 實驗相關的事件。
modelRegistry 與模型登錄相關的事件。
筆記本 筆記本的相關問題。
partnerConnect Partner Connect 相關的事件。
predictiveOptimization 預測最佳化相關的事件。
remoteHistoryService 與新增移除 GitHub 認證相關的事件。
存放庫 Databricks Git 資料夾相關的事件。 請參閱 gitCredentials
密碼 祕密相關的事件。
serverlessRealTimeInference 模型服務相關的事件。
sqlPermissions 與舊版 Hive 中繼存放區資料表存取控制相關的事件。
ssh SSH 存取相關的事件。
vectorSearch 與向量搜尋相關的事件。
webTerminal 網路終端機功能相關的事件。
工作區 與工作區相關的事件。

帳戶層級服務

這些服務可使用帳戶層級稽核記錄:

服務名稱 描述
accountBillableUsage 與帳戶主控台中可計費使用量存取相關的動作。
accountsAccessControl 與帳戶層級存取控制規則相關的動作。
accountsManager 與網路連線設定相關的動作。
budgetPolicyCentral 與管理 預算原則相關的動作。
unityCatalog 在 Unity 目錄中執行的動作。 其中也包括差異共用事件,請參閱 Delta Sharing 事件

其他安全性監視服務

對於使用合規性安全設定檔 (某些合規性標準如 FedRAMP、PCI 和 HIPAA 所需) 或使用增強的安全性監視的工作區,還有額外的服務和相關動作。

這些是工作區層級服務,只有在您使用合規性安全性設定檔或增強的安全性監視時,才會在您的記錄中產生:

服務名稱 描述
capsule8-alerts-dataplane 與檔案完整性監視相關的動作。
clamAVScanService-dataplane 與防毒監視相關的動作。

診斷記錄範例結構描述

在 Azure Databricks 中,診斷記錄會以 JSON 格式輸出事件。 在 Azure Databricks 中,稽核記錄會以 JSON 格式輸出事件。 serviceNameactionName 屬性會識別事件。 命名慣例遵循 Databricks REST API

下列 JSON 範例是使用者建立作業時記錄的事件範例:

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

診斷記錄結構描述考量

  • 如果動作需要很長的時間,則會單獨記錄要求和回應,但要求和回應組具有相同的 requestId
  • 由使用者 System-User 執行,由於自動調整而調整叢集大小或由於排程而啟動作業等自動化動作。
  • requestParams 欄位受限於截斷。 如果 JSON 表示的大小超過 100 KB,則會截斷值,並將字串 ... truncated 附加至截斷的項目。 在截斷的對應仍然大於 100 KB 的罕見情況下,會改為有空值的單一 TRUNCATED 索引鍵。

帳戶事件

以下是在工作區層級記錄的 accounts 事件。

服務 動作 描述 要求參數
accounts activateUser 停用之後,使用者會重新啟用。 請參閱停用工作區中的使用者 - targetUserName
- endpoint
- targetUserId
accounts aadBrowserLogin 使用者使用 Microsoft Entra ID 瀏覽器工作流程登入 Databricks。 - user
accounts aadTokenLogin 使用者透過 Microsoft Entra ID 權杖登入 Databricks。 - user
accounts accountInHouseOAuthClientAuthentication 已驗證 OAuth 用戶端。 - endpoint
accounts activateUser 系統管理員從 Azure 入口網站將使用者新增至 Databricks 帳戶。 - warehouse
- targetUserName
- targetUserId
accounts add 使用者會新增至 Azure Databricks 工作區。 - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup 使用者會新增至工作區層級群組。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts changeDatabricksSqlAcl 使用者的 Databricks SQL 權限已變更。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDatabricksWorkspaceAcl 工作區的權限已變更。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDbTokenAcl 變更權杖的權限時。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeServicePrincipalAcls 當服務主體的權限變更時。 - shardName
- targetServicePrincipal
- resourceId
- aclPermissionSet
accounts createGroup 建立工作區層級群組。 - endpoint
- targetGroupId
- targetGroupName
accounts createIpAccessList IP 存取清單會新增至工作區。 - ipAccessListId
- userId
accounts deactivateUser 工作區中已停用使用者。 請參閱停用工作區中的使用者 - targetUserName
- endpoint
- targetUserId
accounts delete 使用者會從 Azure Databricks 工作區刪除。 - targetUserId
- targetUserName
- endpoint
accounts deleteIpAccessList IP 存取清單會從工作區刪除。 - ipAccessListId
- userId
accounts garbageCollectDbToken 使用者會在過期的權杖上執行記憶體回收命令。 - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken 當有人從使用者設定或服務產生權杖時產生權杖時。 - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts IpAccessDenied 使用者嘗試透過拒絕的 IP 連線到服務。 - path
- userName
accounts ipAccessListQuotaExceeded - userId
accounts jwtLogin 使用者使用 JWT 登入 Databricks。 - user
accounts login 使用者登入工作區。 - user
accounts logout 使用者登出工作區。 - user
accounts oidcTokenAuthorization 透過一般 OIDC/OAuth 權杖授權 API 呼叫時。 - user
accounts passwordVerifyAuthentication - user
accounts reachMaxQuotaDbToken 當目前未過期的權杖數目超過權杖配額時
accounts removeAdmin 使用者的工作區管理員權限已被撤銷。 - targetUserName
- endpoint
- targetUserId
accounts removeGroup 群組會從工作區移除。 - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup 使用者會從群組中移除。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts revokeDbToken 使用者的權杖會從工作區卸除。 可由從 Databricks 帳戶移除的使用者觸發。 - userId
accounts setAdmin 使用者被授與帳戶管理員權限。 - endpoint
- targetUserName
- targetUserId
accounts tokenLogin 使用者使用權杖登入 Databricks。 - tokenId
- user
accounts updateIpAccessList IP 存取清單已變更。 - ipAccessListId
- userId
accounts updateUser 對使用者帳戶進行變更。 - warehouse
- targetUserName
- targetUserId
accounts validateEmail 當使用者在帳戶建立後驗證其電子郵件時。 - endpoint
- targetUserName
- targetUserId

叢集事件

以下是在工作區層級記錄的 cluster 事件。

服務 動作 描述 要求參數
clusters changeClusterAcl 使用者會變更叢集 ACL。 - shardName
- aclPermissionSet
- targetUserId
- resourceId
clusters create 使用者會建立叢集。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters createResult 叢集建立的結果。 與 create 搭配使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters delete 叢集已終止。 - cluster_id
clusters deleteResult 叢集終止的結果。 與 delete 搭配使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters edit 使用者對叢集設定進行變更。 這會記錄除叢集大小或自動調整行為變更以外的所有變更。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters permanentDelete 叢集會從 UI 中刪除。 - cluster_id
clusters resize 叢集調整大小。 這會記錄在執行中的叢集上,其中唯一變更的屬性是叢集大小或自動調整行為。 - cluster_id
- num_workers
- autoscale
clusters resizeResult 叢集調整大小的結果。 與 resize 搭配使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters restart 使用者重新啟動執行中的叢集。 - cluster_id
clusters restartResult 叢集重新啟動的結果。 與 restart 搭配使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters start 使用者啟動叢集。 - init_scripts_safe_mode
- cluster_id
clusters startResult 叢集啟動的結果。 與 start 搭配使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId

叢集程式庫事件

以下是在工作區層級記錄的 clusterLibraries 事件。

服務 動作 描述 要求參數
clusterLibraries installLibraries 使用者在叢集上安裝程式庫。 - cluster_id
- libraries
clusterLibraries uninstallLibraries 使用者卸載叢集上的程式庫。 - cluster_id
- libraries
clusterLibraries installLibraryOnAllClusters 工作區管理員會排程程式庫以安裝在所有叢集上。 - user
- library
clusterLibraries uninstallLibraryOnAllClusters 工作區系統管理員會從清單中移除程式庫,以在所有叢集上安裝。 - user
- library

叢集原則事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

以下是在工作區層級記錄的 clusterPolicies 事件。

服務 動作 描述 要求參數
clusterPolicies create 使用者已建立叢集原則。 - name
clusterPolicies edit 使用者已編輯叢集原則。 - policy_id
- name
clusterPolicies delete 使用者已刪除叢集原則。 - policy_id
clusterPolicies changeClusterPolicyAcl 工作區管理員會變更叢集原則的權限。 - shardName
- targetUserId
- resourceId
- aclPermissionSet

儀表板事件

以下是在工作區層級記錄的 dashboards 事件。

服務 動作 描述 要求參數
dashboards getDashboard 使用者可藉由在 UI 中檢視,或使用 API 要求儀表板定義,以存取儀表板的草稿版本。 只有工作區使用者可存取儀表板的草稿版本。 - dashboard_id
dashboards getPublishedDashboard 使用者可藉由在 UI 中檢視或使用 API 要求儀表板定義,以存取儀表板的已發佈版本。 包含來自工作區使用者和帳戶使用者的活動。 排除使用排程的電子郵件接收儀表板的 PDF 快照集。 - dashboard_id
- credentials_embedded
dashboards executeQuery 使用者會從儀表板執行查詢。 - dashboard_id
- statement_id
dashboards cancelQuery 使用者從儀表板取消查詢。 - dashboard_id
- statement_id
dashboards getQueryResult 使用者從儀表板接收查詢的結果。 - dashboard_id
- statement_id
dashboards sendDashboardSnapshot 儀表板的 PDF 快照集會透過排程的電子郵件傳送。

要求參數值取決於收件者的類型。 針對 Databricks 通知目的地,只會顯示 destination_id。 針對 Databricks 使用者,會顯示訂閱者的使用者識別碼和電子郵件地址。 如果收件者是電子郵件地址,則只會顯示電子郵件地址。
- dashboard_id
- subscriber_destination_id
- subscriber_user_details: {

user_id,

email_address }
dashboards getDashboardDetails 使用者存取草稿儀表板的詳細資料,例如資料集和小工具。 當使用者使用 UI 檢視草稿儀表板,或使用 API 要求儀表板定義時,一律會發出 getDashboardDetails - dashboard_id
dashboards createDashboard 使用者會使用 UI 或 API 建立新的 AI/BI 儀表板。 - dashboard_id
dashboards updateDashboard 使用者會使用 UI 或 API 來更新 AI/BI 儀表板。 - dashboard_id
dashboards cloneDashboard 使用者會複製 AI/BI 儀表板。 - source_dashboard_id
- new_dashboard_id
dashboards publishDashboard 使用者使用 UI 或 API 來發佈具有或不含內嵌認證的 AI/BI 儀表板。 - dashboard_id
- credentials_embedded
- warehouse_id
dashboards unpublishDashboard 使用者使用 UI 或 API 解除發佈已發佈的 AI/BI 儀表板。 - dashboard_id
dashboards trashDashboard 使用者會使用 UI 或 API 將 AI/BI 儀表板移至垃圾桶。 - dashboard_id
dashboards restoreDashboard 使用者從垃圾桶還原 AI/BI 儀表板。 - dashboard_id
dashboards migrateDashboard 使用者會將 DBSQL 儀表板移轉至 AI/BI 儀表板。 - source_dashboard_id
- new_dashboard_id
dashboards createSchedule 使用者會建立電子郵件訂用帳戶排程。 - dashboard_id
- schedule_id
dashboards updateSchedule 使用者會更新 AI/BI 儀表板的排程。 - dashboard_id
- schedule_id
dashboards deleteSchedule 使用者會刪除 AI/BI 儀表板的排程。 - dashboard_id
- schedule_id
dashboards createSubscription 使用者會訂閱 AI/BI 儀表板排程的電子郵件目的地。 - dashboard_id
- schedule_id
- schedule
dashboards deleteSubscription 使用者會從 AI/BI 儀表板排程中刪除電子郵件目的地。 - dashboard_id
- schedule_id

Databricks SQL 事件

以下是在工作區層級記錄的 databrickssql 事件。

注意

如果您使用舊版 SQL 端點 API 來管理 SQL 倉儲,您的 SQL 倉儲稽核事件將會有不同的動作名稱。 請參閱 SQL 端點記錄

服務 動作 描述 要求參數
databrickssql addDashboardWidget 小工具會新增至儀表板。 - dashboardId
- widgetId
databrickssql cancelQueryExecution 查詢執行會從 SQL 編輯器 UI 取消。 這不包括源自查詢歷史記錄 UI 或 Databricks SQL 執行 API 的取消。 - queryExecutionId
databrickssql changeWarehouseAcls 倉儲管理員會更新 SQL 倉儲的權限。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
databrickssql changePermissions 使用者會更新物件的權限。 - granteeAndPermission
- objectId
- objectType
databrickssql cloneDashboard 使用者會複製儀表板。 - dashboardId
databrickssql commandSubmit 僅在詳細資訊稽核記錄中。 不論要求的來源為何,在命令提交至 SQL 倉儲時產生。 - warehouseId
- commandId
- validation
- commandText
databrickssql commandFinish 僅在詳細資訊稽核記錄中。 不論取消要求的來源為何,在 SQL 倉儲上的命令完成或取消時產生。 - warehouseId
- commandId
databrickssql createAlert 使用者會建立警示。 - alertId
databrickssql createNotificationDestination 工作區管理員會建立通知目的地。 - notificationDestinationId
- notificationDestinationType
databrickssql createDashboard 使用者會建立儀表板。 - dashboardId
databrickssql createDataPreviewDashboard 使用者會建立資料預覽儀表板。 - dashboardId
databrickssql createWarehouse 具有叢集建立權利的使用者會建立 SQL 倉儲。 - auto_resume
- auto_stop_mins
- channel
- cluster_size
- conf_pairs
- custom_cluster_confs
- enable_databricks_compute
- enable_photon
- enable_serverless_compute
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- size
- spot_instance_policy
- tags
- test_overrides
databrickssql createQuery 使用者會建立新的查詢。 - queryId
databrickssql createQueryDraft 使用者會建立查詢草稿。 - queryId
databrickssql createQuerySnippet 使用者會建立查詢程式碼片段。 - querySnippetId
databrickssql createSampleDashboard 使用者會建立範例儀表板。 - sampleDashboardId
databrickssql createVisualization 使用者會使用 SQL 編輯器產生視覺效果。 排除使用 SQL 倉儲之筆記本中的預設結果資料表和視覺效果。 - queryId
- visualizationId
databrickssql deleteAlert 使用者會從警示介面或透過 API 刪除警示。 從檔案瀏覽器 UI 排除刪除。 - alertId
databrickssql deleteNotificationDestination 工作區管理員會刪除通知目的地。 - notificationDestinationId
databrickssql deleteDashboard 使用者會從儀表板介面或透過 API 刪除儀表板。 透過檔案瀏覽器 UI 排除刪除。 - dashboardId
databrickssql deleteDashboardWidget 使用者會刪除儀表板小工具。 - widgetId
databrickssql deleteWarehouse 倉儲管理員會刪除 SQL 倉儲。 - id
databrickssql deleteQuery 使用者會從查詢介面或透過 API 刪除查詢。 透過檔案瀏覽器 UI 排除刪除。 - queryId
databrickssql deleteQueryDraft 使用者會刪除查詢草稿。 - queryId
databrickssql deleteQuerySnippet 使用者會刪除查詢程式碼片段。 - querySnippetId
databrickssql deleteVisualization 使用者會從 SQL 編輯器的查詢中刪除視覺效果。 - visualizationId
databrickssql downloadQueryResult 使用者會從 SQL 編輯器下載查詢結果。 從儀表板排除下載。 - fileType
- queryId
- queryResultId
- credentialsEmbedded
- credentialsEmbeddedId
databrickssql editWarehouse 倉儲管理員會編輯 SQL 倉儲。 - auto_stop_mins
- channel
- cluster_size
- confs
- enable_photon
- enable_serverless_compute
- id
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- spot_instance_policy
- tags
databrickssql executeAdhocQuery 由下列其中一項產生:

- 使用者在 SQL 編輯器中執行查詢草稿
- 從視覺效果彙總執行查詢
- 使用者載入儀表板並執行基礎查詢
- dataSourceId
databrickssql executeSavedQuery 使用者會執行已儲存的查詢。 - queryId
databrickssql executeWidgetQuery 由執行查詢的任何事件產生,讓儀表板面板重新整理。 適用事件的一些範例包括:

- 重新整理單一面板
- 重新整理整個儀表板
- 排程的儀表板執行
- 在超過 64,000 個資料列上運作的參數或篩選變更
- widgetId
databrickssql favoriteDashboard 使用者收藏儀表板。 - dashboardId
databrickssql favoriteQuery 使用者收藏查詢。 - queryId
databrickssql forkQuery 使用者複製查詢。 - originalQueryId
- queryId
databrickssql listQueries 使用者開啟查詢清單頁面,或是呼叫清單查詢 API。 - filter_by
- include_metrics
- max_results
- page_token
databrickssql moveAlertToTrash 使用者將警示移至垃圾桶。 - alertId
databrickssql moveDashboardToTrash 使用者將儀表板移至垃圾桶。 - dashboardId
databrickssql moveQueryToTrash 使用者將查詢移至垃圾桶。 - queryId
databrickssql restoreAlert 使用者從垃圾箱還原警示。 - alertId
databrickssql restoreDashboard 使用者從垃圾箱還原儀表板。 - dashboardId
databrickssql restoreQuery 使用者從垃圾箱還原查詢。 - queryId
databrickssql setWarehouseConfig 倉儲管理員會設定 SQL 倉儲的組態。 - data_access_config
- enable_serverless_compute
- instance_profile_arn
- security_policy
- serverless_agreement
- sql_configuration_parameters
- try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard 使用者要求儀表板的快照集。 包含排程的儀表板快照集。 - dashboardId
databrickssql startWarehouse 啟動 SQL 倉儲。 - id
databrickssql stopWarehouse 倉儲管理員會停止 SQL 倉儲。 排除自動停止的倉儲。 - id
databrickssql transferObjectOwnership 工作區管理員會透過傳送物件所有權 API,將儀表板、查詢或警示的所有權轉移給作用中使用者。 此稽核記錄事件不會擷取透過 UI 或更新 API 完成的所有權傳輸。 - newOwner
- objectId
- objectType
databrickssql unfavoriteDashboard 使用者從我的最愛中移除儀表板。 - dashboardId
databrickssql unfavoriteQuery 使用者從我的最愛中移除查詢。 - queryId
databrickssql updateAlert 使用者對警示進行更新。 如果使用 API 傳輸警示所有權,則會填入 ownerUserName - alertId
- queryId
- ownerUserName
databrickssql updateNotificationDestination 工作區管理員會更新通知目的地。 - notificationDestinationId
databrickssql updateDashboardWidget 使用者會對儀表板小工具進行更新。 排除軸刻度的變更。 適用的更新範例包括:

- 變更為小工具大小或位置
- 新增或移除小工具參數
- widgetId
databrickssql updateDashboard 使用者會對儀表板屬性進行更新。 排除排程和訂用帳戶的變更。 適用的更新範例包括:

- 變更儀表板名稱
- 變更為 SQL 倉儲
- 變更 [執行身分] 設定
- dashboardId
databrickssql updateOrganizationSetting 工作區管理員會更新工作區的 SQL 設定。 - has_configured_data_access
- has_explored_sql_warehouses
- has_granted_permissions
databrickssql updateQuery 使用者會對查詢進行更新。 如果使用 API 傳輸查詢所有權,則會填入 ownerUserName - queryId
- ownerUserName
databrickssql updateQueryDraft 使用者會對查詢草稿進行更新。 - queryId
databrickssql updateQuerySnippet 使用者會對查詢程式碼片段進行更新。 - querySnippetId
databrickssql updateVisualization 使用者會從 SQL 編輯器或儀表板更新視覺效果。 - visualizationId

資料監視事件

下列 dataMonitoring 事件在工作區層級記錄。

服務 動作 描述 要求參數
dataMonitoring CreateMonitor 使用者會建立監視器。 - data_classification_config
- full_table_name_arg
- assets_dir
- schedule
- output_schema_name
- notifications
- inference_log
dataMonitoring UpdateMonitor 使用者會對監視器進行更新。 - data_classification_config
- table_name
- full_table_name_arg
- drift_metrics_table_name
- dashboard_id
- custom_metrics
- assets_dir
- monitor_version
- profile_metrics_table_name
- baseline_table_name
- status
- output_schema_name
- inference_log
- slicing_exprs
dataMonitoring DeleteMonitor 使用者會刪除監視器。 - full_table_name_arg
dataMonitoring RunRefresh 依排程或手動重新整理監視器。 - full_table_name_arg

DBFS 事件

下列資料表包含在工作區層級記錄的 dbfs 事件。

DBFS 事件有兩種類型:API 呼叫和作業事件。

DBFS API 事件

僅當透過 DBFS REST API 寫入時,才會記錄下列 DBFS 稽核事件。

服務 動作 描述 要求參數
dbfs addBlock 使用者會將資料區塊附加至串流。 這會與 dbfs/create 搭配使用,將資料串流至 DBFS。 - handle
- data_length
dbfs create 使用者開啟串流以將檔案寫入 DBF。 - path
- bufferSize
- overwrite
dbfs delete 使用者會從 DBF 刪除檔案或目錄。 - recursive
- path
dbfs mkdirs 使用者會建立新的 DBFS 目錄。 - path
dbfs move 使用者將檔案從 DBF 內的一個位置移至另一個位置。 - dst
- source_path
- src
- destination_path
dbfs put 使用者透過使用張貼至 DBF 的多部分表單來上傳檔案。 - path
- overwrite

DBFS 運作事件

下列 DBFS 稽核事件在計算平面上發生。

服務 動作 描述 要求參數
dbfs mount 使用者會在特定 DBFS 位置建立掛接點。 - mountPoint
- owner
dbfs unmount 使用者會移除特定 DBFS 位置的掛接點。 - mountPoint

差異管線事件

服務 動作 描述 要求參數
deltaPipelines changePipelineAcls 使用者會變更管線的權限。 - shardId
- targetUserId
- resourceId
- aclPermissionSet
deltaPipelines create 使用者會建立差異即時資料表管線。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- dry_run
- id
- libraries
- name
- storage
- target
- channel
- edition
- photon
deltaPipelines delete 使用者會刪除差異即時資料表管線。 - pipeline_id
deltaPipelines edit 使用者會編輯差異即時資料表管線。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- expected_last_modified
- id
- libraries
- name
- pipeline_id
- storage
- target
- channel
- edition
- photon
deltaPipelines startUpdate 使用者會重新啟動差異即時資料表管線。 - cause
- full_refresh
- job_task
- pipeline_id
deltaPipelines stop 使用者會停止差異即時資料表管線。 - pipeline_id

功能存放區實體

下列 featureStore 事件在工作區層級記錄。

服務 動作 描述 要求參數
featureStore addConsumer 取用者會新增至功能存放區。 - features
- job_run
- notebook
featureStore addDataSources 資料源會新增至功能資料表。 - feature_table
- paths, tables
featureStore addProducer 產生者會新增至功能資料表。 - feature_table
- job_run
- notebook
featureStore changeFeatureTableAcl 功能資料表中的權限已變更。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
featureStore createFeatureTable 功能資料表已建立。 - description
- name
- partition_keys
- primary_keys
- timestamp_keys
featureStore createFeatures 功能會在功能資料表中建立。 - feature_table
- features
featureStore deleteFeatureTable 功能資料表已刪除。 - name
featureStore deleteTags 標籤會從功能資料表中刪除。 - feature_table_id
- keys
featureStore getConsumers 使用者會呼叫以取得功能資料表中的取用者。 - feature_table
featureStore getFeatureTable 使用者會呼叫以取得功能資料表。 - name
featureStore getFeatureTablesById 使用者會呼叫以取得功能資料表識別碼。 - ids
featureStore getFeatures 使用者會呼叫以取得功能。 - feature_table
- max_results
featureStore getModelServingMetadata 使用者會呼叫以取得模型服務中繼資料。 - feature_table_features
featureStore getOnlineStore 使用者會呼叫以取得線上商店詳細資料。 - cloud
- feature_table
- online_table
- store_type
featureStore getTags 使用者會呼叫以取得功能資料表的標籤。 - feature_table_id
featureStore publishFeatureTable 功能資料表已發行。 - cloud
- feature_table
- host
- online_table
- port
- read_secret_prefix
- store_type
- write_secret_prefix
featureStore searchFeatureTables 使用者搜尋功能資料表。 - max_results
- page_token
- text
featureStore setTags 標籤會新增至功能資料表。 - feature_table_id
- tags
featureStore updateFeatureTable 功能資料表已更新。 - description
- name

檔案事件

下列 filesystem 事件在工作區層級記錄。

服務 動作 描述 要求參數
filesystem filesGet 使用者會使用檔案 API 或磁碟區 UI 下載檔案。 - path
- transferredSize
filesystem filesPut 使用者會使用檔案 API 或磁碟區 UI 上傳檔案。 - path
- receivedSize
filesystem filesDelete 使用者會使用檔案 API 或磁碟區 UI 刪除檔案。 - path
filesystem filesHead 使用者會使用檔案 API 或磁碟區 UI 取得檔案的相關信息。 - path

Genie 事件

下列 genie 事件在工作區層級記錄。

注意

此服務與 AI/BI Genie 空間無關。

服務 動作 描述 要求參數
genie databricksAccess Databricks 人員有權存取客戶環境。 - duration
- approver
- reason
- authType
- user

Git 認證事件

下列 gitCredentials 事件在工作區層級記錄。

服務 動作 描述 要求參數
gitCredentials getGitCredential 使用者會取得 Git 認證。 - id
gitCredentials listGitCredentials 使用者列出所有 Git 認證 none
gitCredentials deleteGitCredential 使用者會刪除 Git 認證。 - id
gitCredentials updateGitCredential 使用者會更新 Git 認證。 - id
- git_provider
- git_username
gitCredentials createGitCredential 使用者會建立 Git 認證。 - git_provider
- git_username

全域 init 指令碼事件

下列 globalInitScripts 事件在工作區層級記錄。

服務 動作 描述 要求參數
globalInitScripts create 工作區管理員會建立全域初始化指令碼。 - name
- position
- script-SHA256
- enabled
globalInitScripts update 工作區管理員會更新全域初始化指令碼。 - script_id
- name
- position
- script-SHA256
- enabled
globalInitScripts delete 工作區管理員會刪除全域初始化指令碼。 - script_id

群組事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 groups 事件在工作區層級記錄。 這些動作與舊版 ACL 群組相關。 如需帳戶和工作區層級群組的相關動作,請參閱帳戶事件帳戶層級帳戶事件

服務 動作 描述 要求參數
groups addPrincipalToGroup 管理員可以將使用者新增至群組。 - user_name
- parent_name
groups createGroup 系統管理員會建立群組。 - group_name
groups getGroupMembers 系統管理員會檢視群組成員。 - group_name
groups getGroups 系統管理員會檢視群組清單 none
groups getInheritedGroups 系統管理員會檢視繼承的群組 none
groups removeGroup 系統管理員會移除群組。 - group_name

IAM 角色事件

下列 iamRole 事件在工作區層級記錄。

服務 動作 描述 要求參數
iamRole changeIamRoleAcl 工作區管理員會變更 IAM 角色的權限。 - targetUserId
- shardName
- resourceId
- aclPermissionSet

擷取事件

下列 ingestion 事件在工作區層級記錄。

服務 動作 描述 要求參數
ingestion proxyFileUpload 使用者會將檔案上傳至其 Azure Databricks 工作區。 - x-databricks-content-length-0
- x-databricks-total-files

執行個體集區事件

下列 instancePools 事件在工作區層級記錄。

服務 動作 描述 要求參數
instancePools changeInstancePoolAcl 使用者會變更執行個體集區的權限。 - shardName
- resourceId
- targetUserId
- aclPermissionSet
instancePools create 使用者會建立執行個體集區。 - enable_elastic_disk
- preloaded_spark_versions
- idle_instance_autotermination_minutes
- instance_pool_name
- node_type_id
- custom_tags
- max_capacity
- min_idle_instances
- aws_attributes
instancePools delete 使用者會刪除執行個體集區。 - instance_pool_id
instancePools edit 使用者會編輯執行個體集區。 - instance_pool_name
- idle_instance_autotermination_minutes
- min_idle_instances
- preloaded_spark_versions
- max_capacity
- enable_elastic_disk
- node_type_id
- instance_pool_id
- aws_attributes

作業事件

下列 jobs 事件在工作區層級記錄。

服務 動作 描述 要求參數
jobs cancel 會取消作業執行。 - run_id
jobs cancelAllRuns 使用者會取消作業上的所有執行。 - job_id
jobs changeJobAcl 使用者會更新作業的權限。 - shardName
- aclPermissionSet
- resourceId
- targetUserId
jobs create 使用者會建立作業。 - spark_jar_task
- email_notifications
- notebook_task
- spark_submit_task
- timeout_seconds
- libraries
- name
- spark_python_task
- job_type
- new_cluster
- existing_cluster_id
- max_retries
- schedule
- run_as
jobs delete 使用者會刪除作業。 - job_id
jobs deleteRun 使用者會刪除作業執行。 - run_id
jobs getRunOutput 使用者進行 API 呼叫以取得執行輸出。 - run_id
- is_from_webapp
jobs repairRun 使用者會修復作業執行。 - run_id
- latest_repair_id
- rerun_tasks
jobs reset 會重設作業。 - job_id
- new_settings
jobs resetJobAcl 使用者要求變更作業的權限。 - grants
- job_id
jobs runCommand 啟用詳細資訊稽核記錄時可用。 當作業執行執行了筆記本中的命令之後發出。 命令會對應至筆記本中的儲存格。 - jobId
- runId
- notebookId
- executionTime
- status
- commandId
- commandText
jobs runFailed 作業執行失敗。 - jobClusterType
- jobTriggerType
- jobId
- jobTaskType
- runId
- jobTerminalState
- idInJob
- orgId
- runCreatorUserName
jobs runNow 使用者會觸發隨選作業執行。 - notebook_params
- job_id
- jar_params
- workflow_context
jobs runStart 當作業執行在驗證和叢集建立之後啟動時發出。 從這個事件發出的要求參數取決於作業中的工作類型。 除了列出的參數之外,還可包括:

- dashboardId (適用於 SQL 儀表板工作)
- filePath (適用於 SQL 檔案工作)
- notebookPath (適用於筆記本工作)
- mainClassName (適用於 Spark JAR 工作)
- pythonFile (適用於 Spark JAR 工作)
- projectDirectory (適用於 dbt 工作)
- commands (適用於 dbt 工作)
- packageName (適用於 Python Wheel 工作)
- entryPoint (適用於 Python Wheel 工作)
- pipelineId (適用於管線工作)
- queryIds (適用於 SQL 查詢工作)
- alertId (適用於 SQL 警示工作)
- taskDependencies
- multitaskParentRunId
- orgId
- idInJob
- jobId
- jobTerminalState
- taskKey
- jobTriggerType
- jobTaskType
- runId
- runCreatorUserName
jobs runSucceeded 作業執行成功。 - idInJob
- jobId
- jobTriggerType
- orgId
- runId
- jobClusterType
- jobTaskType
- jobTerminalState
- runCreatorUserName
jobs runTriggered 作業排程會根據其排程或觸發程式自動觸發。 - jobId
- jobTriggeredType
- runId
jobs sendRunWebhook 當作業開始、完成或失敗時,會傳送 Webhook。 - orgId
- jobId
- jobWebhookId
- jobWebhookEvent
- runId
jobs setTaskValue 使用者設定工作的值。 - run_id
- key
jobs submitRun 使用者透過 API 提交一次性執行。 - shell_command_task
- run_name
- spark_python_task
- existing_cluster_id
- notebook_task
- timeout_seconds
- libraries
- new_cluster
- spark_jar_task
jobs update 使用者編輯作業的設定。 - job_id
- fields_to_remove
- new_settings
- is_from_dlt

Marketplace 取用者事件

下列 marketplaceConsumer 事件在工作區層級記錄。

服務 動作 描述 要求參數
marketplaceConsumer getDataProduct 使用者可透過 Databricks Marketplace 存取資料產品。 - listing_id
- listing_name
- share_name
- catalog_name
- request_context:取得資料產品存取權之帳戶和中繼存放區的相關資訊陣列
marketplaceConsumer requestDataProduct 使用者要求存取需要提供者核准的資料產品。 - listing_id
- listing_name
- catalog_name
- request_context:要求存取資料產品之帳戶和中繼存放區的相關資訊陣列

Marketplace 提供者事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 marketplaceProvider 事件在工作區層級記錄。

服務 動作 描述 要求參數
marketplaceProvider createListing 中繼存放區系統管理員會在其提供者設定檔中建立清單。 - listing:清單詳細資料的陣列
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider updateListing 中繼存放區管理員會更新其提供者設定檔中的清單。 - id
- listing:清單詳細資料的陣列
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider deleteListing 中繼存放區系統管理員會刪除其提供者設定檔中的清單。 - id
- request_context:提供者帳戶和中繼存放區的詳細資料陣列
marketplaceProvider updateConsumerRequestStatus 中繼存放區系統管理員會核准或拒絕資料產品要求。 - listing_id
- request_id
- status
- reason
- share:共用相關資訊的陣列
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider createProviderProfile 中繼存放區管理員會建立提供者設定檔。 - provider:提供者相關資訊的陣列
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider updateProviderProfile 中繼存放區管理員會更新其提供者設定檔。 - id
- provider:提供者相關資訊的陣列
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider deleteProviderProfile 中繼存放區系統管理員會刪除其提供者設定檔。 - id
- request_context:提供者帳戶和中繼存放區的相關資訊陣列
marketplaceProvider uploadFile 提供者會將檔案上傳至其提供者設定檔。 - request_context:提供者帳戶和中繼存放區的相關資訊陣列
- marketplace_file_type
- display_name
- mime_type
- file_parent:檔案父詳細資料的陣列
marketplaceProvider deleteFile 提供者會從其提供者設定檔中刪除檔案。 - file_id
- request_context:提供者帳戶和中繼存放區的相關資訊陣列

具有 ACL 事件的 MLflow 成品

下列 mlflowAcledArtifact 事件在工作區層級記錄。

服務 動作 描述 要求參數
mlflowAcledArtifact readArtifact 使用者進行呼叫以讀取成品。 - artifactLocation
- experimentId
- runId
mlflowAcledArtifact writeArtifact 使用者進行呼叫以寫入成品。 - artifactLocation
- experimentId
- runId

MLflow 實驗事件

下列 mlflowExperiment 事件在工作區層級記錄。

服務 動作 描述 要求參數
mlflowExperiment createMlflowExperiment 使用者會建立 MLflow 實驗。 - experimentId
- path
- experimentName
mlflowExperiment deleteMlflowExperiment 使用者會刪除 MLflow 實驗。 - experimentId
- path
- experimentName
mlflowExperiment moveMlflowExperiment 使用者會移動 MLflow 實驗。 - newPath
- experimentId
- oldPath
mlflowExperiment restoreMlflowExperiment 使用者會還原 MLflow 實驗。 - experimentId
- path
- experimentName
mlflowExperiment renameMlflowExperiment 使用者會重新命名 MLflow 實驗。 - oldName
- newName
- experimentId
- parentPath

MLflow 模型登錄事件

下列 mlflowModelRegistry 事件在工作區層級記錄。

服務 動作 描述 要求參數
modelRegistry approveTransitionRequest 使用者會核准模型版本階段轉換要求。 - name
- version
- stage
- archive_existing_versions
modelRegistry changeRegisteredModelAcl 使用者會更新已註冊模型的權限。 - registeredModelId
- userId
modelRegistry createComment 使用者會在模型版本上張貼註解。 - name
- version
modelRegistry createModelVersion 使用者會建立模型版本。 - name
- source
- run_id
- tags
- run_link
modelRegistry createRegisteredModel 使用者會建立新的已註冊模型 - name
- tags
modelRegistry createRegistryWebhook 使用者會建立模型登錄事件的 Webhook。 - orgId
- registeredModelId
- events
- description
- status
- creatorId
- httpUrlSpec
modelRegistry createTransitionRequest 使用者會建立模型版本階段轉換要求。 - name
- version
- stage
modelRegistry deleteComment 使用者會刪除模型版本的註解。 - id
modelRegistry deleteModelVersion 使用者會刪除模型版本。 - name
- version
modelRegistry deleteModelVersionTag 使用者會刪除模型版本標籤。 - name
- version
- key
modelRegistry deleteRegisteredModel 使用者會刪除已註冊的模型 - name
modelRegistry deleteRegisteredModelTag 使用者會刪除已註冊模型的標記。 - name
- key
modelRegistry deleteRegistryWebhook 使用者會刪除模型登錄 Webhook。 - orgId
- webhookId
modelRegistry deleteTransitionRequest 使用者會取消模型版本階段轉換要求。 - name
- version
- stage
- creator
modelRegistry finishCreateModelVersionAsync 已完成非同步模型複製。 - name
- version
modelRegistry generateBatchInferenceNotebook 批次推斷筆記本會自動產生。 - userId
- orgId
- modelName
- inputTableOpt
- outputTablePathOpt
- stageOrVersion
- modelVersionEntityOpt
- notebookPath
modelRegistry generateDltInferenceNotebook 異常即時資料表管線的推斷筆記本會自動產生。 - userId
- orgId
- modelName
- inputTable
- outputTable
- stageOrVersion
- notebookPath
modelRegistry getModelVersionDownloadUri 使用者會取得 URI 以下載模型版本。 - name
- version
modelRegistry getModelVersionSignedDownloadUri 使用者會取得 URI 以下載已簽署的模型版本。 - name
- version
- path
modelRegistry listModelArtifacts 使用者會呼叫以列出模型的成品。 - name
- version
- path
- page_token
modelRegistry listRegistryWebhooks 使用者會呼叫以列出模型中的所有登錄 Webhook。 - orgId
- registeredModelId
modelRegistry rejectTransitionRequest 使用者拒絕模型版本階段轉換要求。 - name
- version
- stage
modelRegistry renameRegisteredModel 使用者會重新命名已註冊的模型 - name
- new_name
modelRegistry setEmailSubscriptionStatus 使用者會更新已註冊模型的電子郵件訂用帳戶狀態
modelRegistry setModelVersionTag 使用者設定模型版本標記。 - name
- version
- key
- value
modelRegistry setRegisteredModelTag 使用者設定模型版本標記。 - name
- key
- value
modelRegistry setUserLevelEmailSubscriptionStatus 使用者會更新整個登錄的電子郵件通知狀態。 - orgId
- userId
- subscriptionStatus
modelRegistry testRegistryWebhook 使用者會測試模型登錄 Webhook。 - orgId
- webhookId
modelRegistry transitionModelVersionStage 使用者會取得模型版本全部開啟階段轉換要求的清單。 - name
- version
- stage
- archive_existing_versions
modelRegistry triggerRegistryWebhook 模型登錄 Webhook 由事件觸發。 - orgId
- registeredModelId
- events
- status
modelRegistry updateComment 使用者將編輯張貼至模型版本的註解。 - id
modelRegistry updateRegistryWebhook 使用者會更新模型登錄 Webhook。 - orgId
- webhookId

模型服務事件

下列 serverlessRealTimeInference 事件在工作區層級記錄。

服務 動作 描述 要求參數
serverlessRealTimeInference changeInferenceEndpointAcl 使用者會更新推斷端點的權限。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
serverlessRealTimeInference createServingEndpoint 使用者會建立模型服務端點。 - name
- config
serverlessRealTimeInference deleteServingEndpoint 使用者會刪除服務端點的模型。 - name
serverlessRealTimeInference disable 使用者會停用已註冊模型的模型服務。 - registered_mode_name
serverlessRealTimeInference enable 使用者會啟用已註冊模型的模型服務。 - registered_mode_name
serverlessRealTimeInference getQuerySchemaPreview 使用者會呼叫以取得查詢結構描述預覽。 - endpoint_name
serverlessRealTimeInference updateServingEndpoint 使用者會更新服務端點的模型。 - name
- served_models
- traffic_config
serverlessRealTimeInference updateInferenceEndpointRateLimits 使用者會更新推斷端點的速率限制。 速率限制僅適用於基礎模型 API 按權杖付費和外部模型端點。 - name
- rate_limits

筆記本事件

下列 notebook 事件在工作區層級記錄。

服務 動作 描述 要求參數
notebook attachNotebook 將筆記本連結至叢集。 - path
- clusterId
- notebookId
notebook cloneNotebook 使用者複製筆記本。 - notebookId
- path
- clonedNotebookId
- destinationPath
notebook createNotebook 建立筆記本。 - notebookId
- path
notebook deleteFolder 刪除筆記本資料夾。 - path
notebook deleteNotebook 刪除筆記本。 - notebookId
- notebookName
- path
notebook detachNotebook 從叢集中斷筆記本的連結。 - notebookId
- clusterId
- path
notebook downloadLargeResults 使用者下載查詢結果太大而無法在筆記本中顯示。 - notebookId
- notebookFullPath
notebook downloadPreviewResults 使用者下載查詢結果。 - notebookId
- notebookFullPath
notebook importNotebook 使用者會匯入筆記本。 - path
notebook moveFolder 筆記本資料夾會從一個位置移至另一個位置。 - oldPath
- newPath
- folderId
notebook moveNotebook 筆記本會從一個位置移至另一個位置。 - newPath
- oldPath
- notebookId
notebook renameNotebook 筆記本會重新命名。 - newName
- oldName
- parentPath
- notebookId
notebook restoreFolder 會還原已刪除的資料夾。 - path
notebook restoreNotebook 會還原已刪除的筆記本。 - path
- notebookId
- notebookName
notebook runCommand 啟用詳細資訊稽核記錄時可用。 Databricks 在筆記本中執行命令之後發出。 命令會對應至筆記本中的儲存格。

executionTime 的測量單位是秒。
- notebookId
- executionTime
- status
- commandId
- commandText
- commandLanguage
notebook takeNotebookSnapshot 在執行作業服務或 mlflow 時,會擷取筆記本快照集。 - path

Partner Connect 事件

下列 partnerHub 事件在工作區層級記錄。

服務 動作 描述 要求參數
partnerHub createOrReusePartnerConnection 工作區管理員會設定與合作夥伴解決方案的連線。 - partner_name
partnerHub deletePartnerConnection 工作區系統管理員會刪除合作夥伴連線。 - partner_name
partnerHub downloadPartnerConnectionFile 工作區系統管理員會下載合作夥伴連線檔案。 - partner_name
partnerHub setupResourcesForPartnerConnection 工作區管理員會設定合作夥伴連線的資源。 - partner_name

預測性最佳化事件

下列 predictiveOptimization 事件在工作區層級記錄。

服務 動作 描述 要求參數
predictiveOptimization PutMetrics 預測性最佳化更新資料表和工作負載計量時記錄,以便服務更智慧地排程最佳化作業。 - table_metrics_list
- start_time
- end_time
predictiveOptimization UpdatePredictiveOptimization 帳戶管理員會啟用或停用中繼存放區的預測最佳化。 - metastore_id
- enable

遠端歷程記錄服務事件

下列 remoteHistoryService 事件在工作區層級記錄。

服務 動作 描述 要求參數
remoteHistoryService addUserGitHubCredentials 使用者會新增 Github 認證 none
remoteHistoryService deleteUserGitHubCredentials 使用者人移除 Github 認證 none
remoteHistoryService updateUserGitHubCredentials 使用者會更新 Github 認證 none

Git 資料夾事件

下列 repos 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
repos checkoutBranch 使用者會檢查存放庫上的分支。 - id
- branch
repos commitAndPush 使用者會認可並推送至存放庫。 - id
- message
- files
- checkSensitiveToken
repos createRepo 使用者會在工作區中建立存放庫 - url
- provider
- path
repos deleteRepo 使用者會刪除存放庫。 - id
repos discard 使用者會捨棄對存放庫的認可。 - id
- file_paths
repos getRepo 使用者會呼叫以取得單一存放庫的相關資訊。 - id
repos listRepos 使用者會呼叫以取得他們擁有 [管理] 權限的所有存放庫。 - path_prefix
- next_page_token
repos pull 使用者會從存放庫提取最新的認可。 - id
repos updateRepo 使用者會將存放庫更新至不同的分支或標記,或更新至相同分支上的最新認可。 - id
- branch
- tag
- git_url
- git_provider

祕密事件

下列 secrets 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
secrets createScope 使用者會建立祕密範圍。 - scope
- initial_manage_principal
- scope_backend_type
secrets deleteAcl 使用者會刪除祕密範圍的 ACL。 - scope
- principal
secrets deleteScope 使用者會刪除祕密範圍。 - scope
secrets deleteSecret 使用者會從範圍中刪除祕密。 - key
- scope
secrets getAcl 使用者會取得祕密範圍的 ACL。 - scope
- principal
secrets getSecret 使用者會從範圍取得祕密。 - key
- scope
secrets listAcls 使用者會呼叫以列出祕密範圍的 ACL。 - scope
secrets listScopes 使用者會呼叫以列出祕密範圍 none
secrets listSecrets 使用者會呼叫來列出範圍內的祕密。 - scope
secrets putAcl 使用者會變更祕密範圍的 ACL。 - scope
- principal
- permission
secrets putSecret 使用者會在範圍內新增或編輯祕密。 - string_value
- key
- scope

SQL 資料表存取事件

注意

sqlPermissions 服務包含與舊版 Hive 中繼存放區資料表存取控制相關的事件。 Databricks 建議您將 Hive 中繼存放區管理的資料表升級至 Unity Catalog 中繼存放區

下列 sqlPermissions 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
sqlPermissions changeSecurableOwner 物件的工作區管理員或擁有者會轉移物件所有權。 - securable
- principal
sqlPermissions createSecurable 使用者會建立安全性實體物件。 - securable
sqlPermissions denyPermission 物件擁有者會拒絕安全性實體物件的權限。 - permission
sqlPermissions grantPermission 物件擁有者會授與安全性實體物件的權限。 - permission
sqlPermissions removeAllPermissions 使用者會卸除安全性實體物件。 - securable
sqlPermissions renameSecurable 使用者會重新命名安全性實體物件。 - before
- after
sqlPermissions requestPermissions 使用者會要求安全性實體物件的權限。 - requests
sqlPermissions revokePermission 物件擁有者會撤銷其安全性實體物件的權限。 - permission
sqlPermissions showPermissions 使用者會檢視安全性實體物件權限。 - securable
- principal

SSH 事件

下列 ssh 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
ssh login 將 SSH 登入 Spark 驅動程式的代理程式。 - containerId
- userName
- port
- publicKey
- instanceId
ssh logout 從 Spark 驅動程式登出 SSH 的代理程式。 - userName
- containerId
- instanceId

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 vectorSearch 事件在工作區層級記錄。

服務 動作 描述 要求參數
vectorSearch createEndpoint 使用者會建立向量搜尋端點。 - name
- endpoint_type
vectorSearch deleteEndpoint 使用者會刪除向量搜尋端點。 - name
vectorSearch createVectorIndex 使用者會建立向量搜尋索引。 - name
- endpoint_name
- primary_key
- index_type
- delta_sync_index_spec
- direct_access_index_spec
vectorSearch deleteVectorIndex 使用者會刪除向量搜尋索引。 - name
- endpoint_name
- delete_embedding_writeback_table

網路終端機事件

下列 webTerminal 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
webTerminal startSession 使用者會啟動網路終端機工作階段。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI
webTerminal closeSession 使用者會關閉網路終端機工作階段。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI

事件工作區

下列 workspace 事件在工作區層級記錄。

服務 動作名稱 描述 要求參數
workspace changeWorkspaceAcl 工作區的權限已變更。 - shardName
- targetUserId
- aclPermissionSet
- resourceId
workspace deleteSetting 設定會從工作區刪除。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
workspace fileCreate 使用者會在工作區中建立檔案。 - path
workspace fileDelete 使用者會刪除工作區中的檔案。 - path
workspace fileEditorOpenEvent 使用者會開啟檔案編輯器。 - notebookId
- path
workspace getRoleAssignment 使用者會取得工作區的使用者角色。 - account_id
- workspace_id
workspace mintOAuthAuthorizationCode 當內部 OAuth 授權碼在工作區層級建立時記錄。 - client_id
workspace mintOAuthToken OAuth 權杖已針對工作區建立。 - grant_type
- scope
- expires_in
- client_id
workspace moveWorkspaceNode 工作區管理員會移動工作區節點。 - destinationPath
- path
workspace purgeWorkspaceNodes 工作區管理員會清除工作區節點。 - treestoreId
workspace reattachHomeFolder 現有主資料夾會針對重新新增至工作區的使用者重新附加。 - path
workspace renameWorkspaceNode 工作區管理員會重新命名工作區節點。 - path
- destinationPath
workspace unmarkHomeFolder 當使用者從工作區移除時,會移除主資料夾特殊屬性。 - path
workspace updateRoleAssignment 工作區管理員會更新工作區使用者角色。 - account_id
- workspace_id
- principal_id
workspace updatePermissionAssignment 工作區管理員會將主體新增至工作區。 - principal_id
- permissions
workspace setSetting 工作區管理員會設定工作區設定。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
workspace workspaceConfEdit 工作區管理員會更新設定,例如啟用詳細資訊稽核記錄。 - workspaceConfKeys
- workspaceConfValues
workspace workspaceExport 使用者會從工作區匯出筆記本。 - workspaceExportDirectDownload
- workspaceExportFormat
- notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth 用戶端會在工作區服務中得到驗證。 - user

可計費使用事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 accountBillableUsage 事件在帳戶層級記錄。

服務 動作 描述 要求參數
accountBillableUsage getAggregatedUsage 使用者透過使用量圖表功能存取帳戶的彙總可計費使用量 (每天使用量)。 - account_id
- window_size
- start_time
- end_time
- meter_name
- workspace_ids_filter
accountBillableUsage getDetailedUsage 使用者透過使用量下載功能存取帳戶的詳細可計費使用量 (每個叢集的使用量)。 - account_id
- start_month
- end_month
- with_pii

帳戶層級帳戶事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 accounts 事件在帳戶層級記錄。

服務 動作 描述 要求參數
accounts accountInHouseOAuthClientAuthentication 已驗證 OAuth 用戶端。 - endpoint
accounts accountIpAclsValidationFailed IP 權限驗證失敗。 傳回 statusCode 403。 - sourceIpAddress
- user:記錄為電子郵件地址
accounts activateUser 停用之後,使用者會重新啟用。 請參閱停用帳戶中的使用者 - targetUserName
- endpoint
- targetUserId
accounts add 使用者會新增至 Azure Databricks 帳戶。 - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup 使用者會新增至帳戶層級群組。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts addPrincipalsToGroup 會使用 SCIM 佈建將使用者新增至帳戶層級群組。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts createGroup 系統會建立帳戶層級群組。 - endpoint
- targetGroupId
- targetGroupName
accounts deactivateUser 已停用使用者。 請參閱停用帳戶中的使用者 - targetUserName
- endpoint
- targetUserId
accounts delete 使用者會從 Azure Databricks 帳戶刪除。 - targetUserId
- targetUserName
- endpoint
accounts deleteSetting 帳戶管理員可以從 Azure Databricks 帳戶中移除設定。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts garbageCollectDbToken 使用者會在過期的權杖上執行記憶體回收命令。 - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken 使用者會從使用者設定或服務產生權杖時產生權杖。 - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts login 使用者會登入帳戶主控台。 - user
accounts logout 使用者會登出帳戶主控台。 - user
accounts oidcBrowserLogin 使用者會使用 OpenID Connect 瀏覽器工作流程登入其帳戶。 - user
accounts oidcTokenAuthorization OIDC 權杖已針對帳戶管理員登入得到驗證。 - user
accounts removeAccountAdmin 帳戶管理員會從其他使用者移除帳戶管理員權限。 - targetUserName
- endpoint
- targetUserId
accounts removeGroup 群組會從帳戶中移除。 - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup 使用者會從帳戶層級群組中移除。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts removePrincipalsFromGroup 會使用 SCIM 佈建將使用者從帳戶層級群組移除。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts setAccountAdmin 帳戶管理員可以給另一個使用者指派系統管理員角色。 - targetUserName
- endpoint
- targetUserId
accounts setSetting 帳戶管理員會更新帳戶層級設定。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
accounts tokenLogin 使用者使用權杖登入 Databricks。 - tokenId
- user
accounts updateUser 帳戶管理員會更新使用者帳戶。 - targetUserName
- endpoint
- targetUserId
accounts updateGroup 帳戶管理員會更新帳戶層級群組。 - endpoint
- targetGroupId
- targetGroupName
accounts validateEmail 當使用者在帳戶建立後驗證其電子郵件時。 - endpoint
- targetUserName
- targetUserId

帳戶層級存取控制事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 accountsAccessControl 事件在帳戶層級記錄。

服務 動作 描述 要求參數
accountsAccessControl updateRuleSet 在變更規則集時。 - account_id
- name
- rule_set

帳戶管理事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列 accountsManager 事件在帳戶層級記錄。 這些事件必須與帳戶主控台中的帳戶管理員所做的設定相關聯。

服務 動作 描述 要求參數
accountsManager createNetworkConnectivityConfig 帳戶管理員已建立網路連線設定。 - network_connectivity_config
accountsManager getNetworkConnectivityConfig 帳戶管理員會要求有關網路連線設定的詳細資料。 - account_id
- network_connectivity_config_id
accountsManager listNetworkConnectivityConfigs 帳戶管理員會列出帳戶中的所有網路連線設定。 - account_id
accountsManager deleteNetworkConnectivityConfig 帳戶管理員已刪除網路連線設定。 - account_id
- network_connectivity_config_id
accountsManager createNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已建立私人端點規則。 - account_id
- network_connectivity_config_id
- azure_private_endpoint_rule
accountsManager getNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員會要求私人端點規則的詳細資料。 - account_id
- network_connectivity_config_id
- rule_id
accountsManager listNetworkConnectivityConfigPrivateEndpointRules 帳戶管理員會列出網路連線設定下的所有私人端點規則。 - account_id
- network_connectivity_config_id
accountsManager deleteNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已刪除私人端點規則。 - account_id
- network_connectivity_config_id
- rule_id
accountsManager updateNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已更新私人端點規則。 - account_id
- network_connectivity_config_id
- rule_id
- azure_private_endpoint_rule

預算原則事件

下列 budgetPolicyCentral 事件會記錄在帳戶層級,且與預算原則相關。 請參閱 使用預算原則的屬性無伺服器使用量。

服務 動作 描述 要求參數
budgetPolicyCentral createBudgetPolicy 工作區管理員或計費管理員會建立預算原則。 新的 policy_id 會記錄在數據行中 response - policy_name
budgetPolicyCentral updateBudgetPolicy 工作區管理員、計費管理員或原則管理員會更新預算原則。 - policy.policy_id
- policy.policy_name
budgetPolicyCentral updateBudgetPolicy 工作區管理員、計費管理員或原則管理員會刪除預算原則。 - policy_id

Unity 目錄事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

下列診斷事件與 Unity 目錄相關聯。 Delta Sharing 事件也會記錄在 unityCatalog 服務底下。 對於 Delta Sharing 事件,請參閱 Delta Sharing 事件。 Unity 目錄稽核事件可記錄在工作區層級或帳戶層級,視事件而定。

服務 動作 描述 要求參數
unityCatalog createMetastore 帳戶管理員會建立中繼存放區。 - name
- storage_root
- workspace_id
- metastore_id
unityCatalog getMetastore 帳戶管理員會要求中繼存放區識別碼。 - id
- workspace_id
- metastore_id
unityCatalog getMetastoreSummary 帳戶管理員會要求中繼存放區的詳細資料。 - workspace_id
- metastore_id
unityCatalog listMetastores 帳戶管理員會要求帳戶中所有中繼存放區的清單。 - workspace_id
unityCatalog updateMetastore 帳戶管理員會更新中繼存放區。 - id
- owner
- workspace_id
- metastore_id
unityCatalog deleteMetastore 帳戶管理員會刪除中繼存放區。 - id
- force
- workspace_id
- metastore_id
unityCatalog updateMetastoreAssignment 帳戶管理員會更新中繼存放區的工作區指派。 - workspace_id
- metastore_id
- default_catalog_name
unityCatalog createExternalLocation 帳戶管理員會建立外部位置。 - name
- skip_validation
- url
- credential_name
- workspace_id
- metastore_id
unityCatalog getExternalLocation 帳戶管理員會要求外部位置的詳細資料。 - name_arg
- include_browse
- workspace_id
- metastore_id
unityCatalog listExternalLocations 帳戶管理員會要求帳戶中所有外部位置的清單。 - url
- max_results
- workspace_id
- metastore_id
unityCatalog updateExternalLocation 帳戶管理員會更新外部位置。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteExternalLocation 帳戶管理員會刪除外部位置。 - name_arg
- force
- workspace_id
- metastore_id
unityCatalog createCatalog 使用者會建立目錄。 - name
- comment
- workspace_id
- metastore_id
unityCatalog deleteCatalog 使用者會刪除目錄。 - name_arg
- workspace_id
- metastore_id
unityCatalog getCatalog 使用者會要求目錄的詳細資料。 - name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog updateCatalog 使用者會更新目錄。 - name_arg
- isolation_mode
- comment
- workspace_id
- metastore_id
unityCatalog listCatalog 使用者會呼叫以列出中繼存放區中的所有目錄。 - name_arg
- workspace_id
- metastore_id
unityCatalog createSchema 使用者會建立結構描述。 - name
- catalog_name
- comment
- workspace_id
- metastore_id
unityCatalog deleteSchema 使用者會刪除結構描述。 - full_name_arg
- force
- workspace_id
- metastore_id
unityCatalog getSchema 使用者會要求結構描述的詳細資料。 - full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog listSchema 使用者會要求目錄中所有結構描述的清單。 - catalog_name
unityCatalog updateSchema 使用者會更新結構描述。 - full_name_arg
- name
- workspace_id
- metastore_id
- comment
unityCatalog createStagingTable - name
- catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog createTable 使用者會建立資料表。 要求參數根據建立的資料表類型而有所不同。 - name
- data_source_format
- catalog_name
- schema_name
- storage_location
- columns
- dry_run
- table_type
- view_dependencies
- view_definition
- sql_path
- comment
unityCatalog deleteTable 使用者會刪除資料表。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog getTable 使用者會要求資料表的詳細資料。 - include_delta_metadata
- full_name_arg
- dependent
- workspace_id
- metastore_id
unityCatalog privilegedGetTable - full_name_arg
unityCatalog listTables 使用者會呼叫以列出結構描述中的所有資料表。 - catalog_name
- schema_name
- workspace_id
- metastore_id
- include_browse
unityCatalog listTableSummaries 使用者會取得中繼存放區內結構描述和目錄之資料表的摘要陣列。 - catalog_name
- schema_name_pattern
- workspace_id
- metastore_id
unityCatalog updateTables 使用者會對資料表進行更新。 顯示的要求參數會因資料表更新的類型而有所不同。 - full_name_arg
- table_type
- table_constraint_list
- data_source_format
- columns
- dependent
- row_filter
- storage_location
- sql_path
- view_definition
- view_dependencies
- owner
- comment
- workspace_id
- metastore_id
unityCatalog createStorageCredential 帳戶管理員會建立儲存體認證。 您可能會根據雲端提供者認證看到其他要求參數。 - name
- comment
- workspace_id
- metastore_id
unityCatalog listStorageCredentials 帳戶管理員呼叫以列出帳戶中的所有儲存體認證。 - workspace_id
- metastore_id
unityCatalog getStorageCredential 帳戶管理員會要求儲存體認證的詳細資料。 - name_arg
- workspace_id
- metastore_id
unityCatalog updateStorageCredential 帳戶管理員會更新儲存體認證。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog deleteStorageCredential 帳戶管理員會刪除儲存體認證。 - name_arg
- workspace_id
- metastore_id
unityCatalog generateTemporaryTableCredential 每當授與資料表暫時認證時進行記錄。 您可使用此事件來判斷誰查詢了什麼以及何時查詢。 - credential_id
- credential_type
- is_permissions_enforcing_client
- table_full_name
- operation
- table_id
- workspace_id
- table_url
- metastore_id
unityCatalog generateTemporaryPathCredential 每當授與路徑暫時認證時進行記錄。 - url
- operation
- make_path_only_parent
- workspace_id
- metastore_id
unityCatalog getPermissions 使用者會呼叫以取得安全性實體物件的權限詳細資料。 此呼叫不會傳回繼承的權限,只會明確指派權限。 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getEffectivePermissions 使用者會呼叫以取得安全性實體物件的所有權限詳細資料。 有效的權限呼叫會傳回明確指派和繼承的權限。 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog updatePermissions 使用者會更新安全性實體物件的權限。 - securable_type
- changes
- securable_full_name
- workspace_id
- metastore_id
unityCatalog metadataSnapshot 使用者會從先前的資料表版本查詢中繼資料。 - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog metadataAndPermissionsSnapshot 使用者會查詢先前資料表版本的中繼資料和權限。 - securables
- include_delta_metadata
- workspace_id
- metastore_id
unityCatalog updateMetadataSnapshot 使用者會從上一個資料表版本更新中繼資料。 - table_list_snapshots
- schema_list_snapshots
- workspace_id
- metastore_id
unityCatalog getForeignCredentials 使用者會呼叫以取得外部索引鍵的詳細資料。 - securables
- workspace_id
- metastore_id
unityCatalog getInformationSchema 使用者會呼叫以取得結構描述的詳細資料。 - table_name
- page_token
- required_column_names
- row_set_type
- required_column_names
- workspace_id
- metastore_id
unityCatalog createConstraint 使用者會建立資料表的條件約束。 - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog deleteConstraint 使用者會刪除資料表的條件約束。 - full_name_arg
- constraint
- workspace_id
- metastore_id
unityCatalog createPipeline 使用者會建立 Unity 目錄管線。 - target_catalog_name
- has_workspace_definition
- id
- workspace_id
- metastore_id
unityCatalog updatePipeline 使用者會更新 Unity 目錄管線。 - id_arg
- definition_json
- id
- workspace_id
- metastore_id
unityCatalog getPipeline 使用者會要求 Unity 目錄管線的詳細資料。 - id
- workspace_id
- metastore_id
unityCatalog deletePipeline 使用者會刪除 Unity 目錄管線。 - id
- workspace_id
- metastore_id
unityCatalog deleteResourceFailure 資源無法刪除 none
unityCatalog createVolume 使用者會建立 Unity 目錄磁碟區。 - name
- catalog_name
- schema_name
- volume_type
- storage_location
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getVolume 使用者會呼叫以取得 Unity 目錄磁碟區的相關資訊。 - volume_full_name
- workspace_id
- metastore_id
unityCatalog updateVolume 使用者會使用 ALTER VOLUMECOMMENT ON 呼叫來更新 Unity 目錄磁碟區的中繼資料。 - volume_full_name
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteVolume 使用者會刪除 Unity 目錄磁碟區。 - volume_full_name
- workspace_id
- metastore_id
unityCatalog listVolumes 使用者會呼叫以取得結構描述中所有 Unity 目錄磁碟區的清單。 - catalog_name
- schema_name
- workspace_id
- metastore_id
unityCatalog generateTemporaryVolumeCredential 當使用者在磁碟區執行讀取或寫入時,會產生暫時認證。 您可使用此事件來判斷有誰存取磁碟區及何時存取。 - volume_id
- volume_full_name
- operation
- volume_storage_location
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog getTagSecurableAssignments 擷取安全性實體的標籤指派 - securable_type
- securable_full_name
- workspace_id
- metastore_id
unityCatalog getTagSubentityAssignments 擷取子實體的標籤指派 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
unityCatalog UpdateTagSecurableAssignments 更新安全性實體的標籤指派 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- changes
unityCatalog UpdateTagSubentityAssignments 更新子實體的標籤指派 - securable_type
- securable_full_name
- workspace_id
- metastore_id
- subentity_name
- changes
unityCatalog createRegisteredModel 使用者會建立 Unity 目錄已註冊的模型。 - name
- catalog_name
- schema_name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog getRegisteredModel 使用者會呼叫以取得 Unity 目錄註冊模型的相關資訊。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog updateRegisteredModel 使用者會更新 Unity 目錄註冊模型的中繼資料。 - full_name_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteRegisteredModel 使用者會刪除 Unity 目錄已註冊的模型。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog listRegisteredModels 使用者會呼叫以取得結構描述中已註冊的 Unity 目錄模型清單,或跨目錄和結構描述列出模型。 - catalog_name
- schema_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog createModelVersion 使用者會在 Unity 目錄中建立模型版本。 - catalog_name
- schema_name
- model_name
- source
- comment
- workspace_id
- metastore_id
unityCatalog finalizeModelVersion 使用者在將模型版本檔案上傳至其儲存位置後,呼叫「完成」Unity 目錄模型版本,使其成為唯讀且可使用的推斷工作流程。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersion 使用者會呼叫以取得模型版本的詳細資料。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog getModelVersionByAlias 使用者會呼叫以使用別名取得模型版本的詳細資料。 - full_name_arg
- include_aliases
- alias_arg
- workspace_id
- metastore_id
unityCatalog updateModelVersion 使用者會更新模型版本的中繼資料。 - full_name_arg
- version_arg
- name
- owner
- comment
- workspace_id
- metastore_id
unityCatalog deleteModelVersion 使用者會刪除模型版本。 - full_name_arg
- version_arg
- workspace_id
- metastore_id
unityCatalog listModelVersions 使用者會呼叫以取得已註冊模型中的 Unity 目錄模型版本清單。 - catalog_name
- schema_name
- model_name
- max_results
- page_token
- workspace_id
- metastore_id
unityCatalog generateTemporaryModelVersionCredential 當使用者在模型版本上執行寫入時 (在初始模型版本建立期間) 或讀取 (在模型版本完成之後) 時,會產生暫時認證。 您可使用此事件來判斷有誰存取模型版本及存取時間。 - full_name_arg
- version_arg
- operation
- model_version_url
- credential_id
- credential_type
- workspace_id
- metastore_id
unityCatalog setRegisteredModelAlias 使用者會在 Unity 目錄註冊模型上設定別名。 - full_name_arg
- alias_arg
- version
unityCatalog deleteRegisteredModelAlias 使用者會刪除 Unity 目錄已註冊模型的別名。 - full_name_arg
- alias_arg
unityCatalog getModelVersionByAlias 使用者依別名取得 Unity 目錄模型版本。 - full_name_arg
- alias_arg
unityCatalog createConnection 系統會建立新的外部連線。 - name
- connection_type
- workspace_id
- metastore_id
unityCatalog deleteConnection 刪除外部連線。 - name_arg
- workspace_id
- metastore_id
unityCatalog getConnection 擷取外部連線。 - name_arg
- workspace_id
- metastore_id
unityCatalog updateConnection 更新外部連線。 - name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listConnections 列出中繼存放區中的外部連線。 - workspace_id
- metastore_id
unityCatalog createFunction 使用者會建立新的函式。 - function_info
- workspace_id
- metastore_id
unityCatalog updateFunction 使用者會更新函式。 - full_name_arg
- owner
- workspace_id
- metastore_id
unityCatalog listFunctions 使用者會要求特定父目錄或結構描述內所有函式的清單。 - catalog_name
- schema_name
- include_browse
- workspace_id
- metastore_id
unityCatalog getFunction 使用者向父目錄或結構描述要求函式。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog deleteFunction 使用者向父目錄或結構描述要求函式。 - full_name_arg
- workspace_id
- metastore_id
unityCatalog createShareMarketplaceListingLink - links_infos
- metastore_id
unityCatalog deleteShareMarketplaceListingLink - links_infos
- metastore_id

Delta Sharing 事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用稽核記錄系統資料表來存取這些事件。

差異共用事件分成兩個區段:資料提供者帳戶中記錄的事件,以及資料收件者帳戶中記錄的事件。

差異共用提供者事件

下列稽核記錄事件會在提供者的帳戶中記錄。 收件者所執行的動作會以 deltaSharing 前置詞開頭。 這些記錄也都包含 request_params.metastore_id,這是管理共用資料的中繼存放區,以及 userIdentity.email,這是起始活動之使用者的識別碼。

服務 動作 描述 要求參數
unityCatalog deltaSharingListShares 資料收件者會要求共用清單。 - options:隨此要求提供的分頁選項。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingGetShare 資料收件者會要求共用的詳細資料。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListSchemas 資料收件者會要求共用結構描述清單。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- options:隨此要求提供的分頁選項。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListAllTables 資料收件者會要求所有共用資料表的清單。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListTables 資料收件者會要求共用資料表的清單。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- options:隨此要求提供的分頁選項。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingGetTableMetadata 資料收件者會要求資料表中繼資料的詳細資料。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- schema:結構描述的名稱。
- name:資料表的名稱。
- predicateHints:在查詢中包含的述詞。
- limitHints:要傳回的資料列數目上限。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingGetTableVersion 資料收件者會要求資料表版本的詳細資料。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- schema:結構描述的名稱。
- name:資料表的名稱。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingQueryTable 當資料收件者查詢共用資料表時記錄。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- schema:結構描述的名稱。
- name:資料表的名稱。
- predicateHints:在查詢中包含的述詞。
- limitHints:要傳回的資料列數目上限。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingQueryTableChanges 當資料收件者查詢變更資料表的資料時記錄。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- schema:結構描述的名稱。
- name:資料表的名稱。
- cdf_options:變更資料摘要選項。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingQueriedTable 當資料收件者取得其查詢的回應之後記錄。 response.result 欄位包含收件者查詢的詳細資訊 (請參閱稽核和監視資料共用) - recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingQueriedTableChanges 當資料收件者取得其查詢的回應之後記錄。 response.result 欄位包含收件者查詢的詳細資訊 (請參閱稽核和監視資料共用)。 - recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListNotebookFiles 資料收件者會要求共用筆記本檔案的清單。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingQueryNotebookFile 資料收件者會查詢共用筆記本檔案。 - file_name:筆記本檔案的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListFunctions 資料收件者會要求父結構描述中的函式清單。 - share:共用的名稱。
- schema:函式的父結構描述名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListAllFunctions 資料收件者會要求所有共用函式的清單。 - share:共用的名稱。
- schema:函式的父結構描述名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListFunctionVersions 資料收件者會要求函式版本清單。 - share:共用的名稱。
- schema:函式的父結構描述名稱。
- function:函式的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListVolumes 資料收件者會要求結構描述中的共用磁碟區清單。 - share:共用的名稱。
- schema:磁碟區的父系結構描述。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog deltaSharingListAllVolumes 資料收件者會要求所有共用磁碟區。 - share:共用的名稱。
- recipient_name:表示執行動作的收件者。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog updateMetastore 提供者會更新其中繼存放區。 - delta_sharing_scope:值可以是 INTERNALINTERNAL_AND_EXTERNAL
- delta_sharing_recipient_token_lifetime_in_seconds:如果存在,表示收件者權杖存留期已更新。
unityCatalog createRecipient 提供者會建立資料收件者。 - name:收件者的名稱。
- comment:收件者的註解。
- ip_access_list.allowed_ip_addresses: 收件者 IP 位址允許清單。
unityCatalog deleteRecipient 提供者會刪除資料收件者。 - name:收件者的名稱。
unityCatalog getRecipient 提供者會要求資料收件者的詳細資料。 - name:收件者的名稱。
unityCatalog listRecipients 提供者會要求其所有資料收件者的清單。 none
unityCatalog rotateRecipientToken 提供者會輪替收件者的權杖。 - name:收件者的名稱。
- comment:輪替命令中提供的註解。
unityCatalog updateRecipient 提供者會更新資料收件者的屬性。 - name:收件者的名稱。
- updates:已從共用新增或移除的收件者屬性的 JSON 表示法。
unityCatalog createShare 提供者會更新資料收件者的屬性。 - name:共用的名稱。
- comment:共用的註解。
unityCatalog deleteShare 提供者會更新資料收件者的屬性。 - name:共用的名稱。
unityCatalog getShare 提供者會要求共用的詳細資料。 - name:共用的名稱。
- include_shared_objects:共用的資料表名稱是否包含在要求中。
unityCatalog updateShare 提供者會從共用新增或移除資料資產。 - name:共用的名稱。
- updates:已從共用新增或移除之資料資產的 JSON 表示法。 每個項目都包含 action (新增或移除)、name (資料表的實際名稱)、shared_as (資產共用的名稱,如果與實際名稱不同),以及 partition_specification (如果已提供分割區規格)。
unityCatalog listShares 提供者會要求其共用的清單。 none
unityCatalog getSharePermissions 提供者會要求共用權限的詳細資料。 - name:共用的名稱。
unityCatalog updateSharePermissions 提供者會更新共用的權限。 - name:共用的名稱。
- changes:更新的權限的 JSON 表示法。 每個變更都包含 principal (已授與或撤銷權限的使用者或群組)、add (已授與的權限清單),以及 remove (已撤銷的權限清單)。
unityCatalog getRecipientSharePermissions 提供者會要求收件者共用權限的詳細資料。 - name:共用的名稱。
unityCatalog getActivationUrlInfo 提供者會在其啟用連結上要求活動的詳細資料。 - recipient_name:開啟啟用 URL 的收件者名稱。
- is_ip_access_denied:如果沒有設定 IP 存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果要求未被拒絕,則為 falsesourceIPaddress 是收件者 IP 位址。
unityCatalog generateTemporaryVolumeCredential 系統會為收件者產生暫時認證,以便存取共用磁碟區。 - share_name:收件者會要求共用的名稱。
- share_id:共用的識別碼。
- share_owner:共用的擁有者。
- recipient_name:要求認證的收件者名稱。
- recipient_id:收件者的識別碼。
- volume_full_name:磁碟區的完整 3 層名稱。
- volume_id:磁碟區的識別碼。
- volume_storage_location:磁碟區根目錄的雲端路徑。
- operationREAD_VOLUMEWRITE_VOLUME 任一項。 針對磁碟區共用,僅支援 READ_VOLUME
- credential_id:認證的識別碼。
- credential_type:認證的類型。 值永遠是 StorageCredential
- workspace_id:當要求是共用磁碟區時,值一律為 0
unityCatalog generateTemporaryTableCredential 系統會為收件者產生暫時認證,以便存取共用資料表。 - share_name:收件者會要求共用的名稱。
- share_id:共用的識別碼。
- share_owner:共用的擁有者。
- recipient_name:要求認證的收件者名稱。
- recipient_id:收件者的識別碼。
- table_full_name:資料表的完整 3 層名稱。
- table_id:資料表的識別碼。
- table_url:資料表根目錄的雲端路徑。
- operationREADREAD_WRITE 任一項。
- credential_id:認證的識別碼。
- credential_type:認證的類型。 值永遠是 StorageCredential
- workspace_id:當要求是共用資料表時,值一律為 0

Delta Sharing 收件者事件

下列事件會記錄在資料收件者的帳戶中。 這些事件會記錄共用資料和 AI 資產的收件者存取權,以及與提供者管理相關聯的事件。 每個事件也都包含下列要求參數:

  • recipient_name:資料提供者系統中收件者的名稱。
  • metastore_id:資料提供者系統中中繼存放區的名稱。
  • sourceIPAddress:發出要求的 IP 位址。
服務 動作 描述 要求參數
unityCatalog deltaSharingProxyGetTableVersion 資料收件者會要求共用資料表版本的詳細資料。 - share:共用的名稱。
- schema:資料表父結構描述的名稱。
- name:資料表的名稱。
unityCatalog deltaSharingProxyGetTableMetadata 資料收件者會要求共用資料表中繼資料的詳細資料。 - share:共用的名稱。
- schema:資料表父結構描述的名稱。
- name:資料表的名稱。
unityCatalog deltaSharingProxyQueryTable 資料收件者會查詢共用資料表。 - share:共用的名稱。
- schema:資料表父結構描述的名稱。
- name:資料表的名稱。
- limitHints:要傳回的資料列數目上限。
- predicateHints:在查詢中包含的述詞。
- version:如果已啟用變更資料摘要,則為資料表版本。
unityCatalog deltaSharingProxyQueryTableChanges 資料收件者會查詢變更資料表的資料。 - share:共用的名稱。
- schema:資料表父結構描述的名稱。
- name:資料表的名稱。
- cdf_options:變更資料摘要選項。
unityCatalog createProvider 資料收件者會建立提供者物件。 - name:提供者名稱。
- comment:提供者的註解。
unityCatalog updateProvider 資料收件者會更新提供者物件。 - name:提供者名稱。
- updates:已從共用新增或移除的提供者屬性的 JSON 表示法。 每個項目都包含 action (新增或移除),而且可包含 name (新的提供者名稱)、owner (新的擁有者) 和 comment
unityCatalog deleteProvider 資料收件者會刪除提供者物件。 - name:提供者名稱。
unityCatalog getProvider 資料收件者會要求提供者物件的詳細資料。 - name:提供者名稱。
unityCatalog listProviders 資料收件者會要求提供者清單。 none
unityCatalog activateProvider 資料收件者會啟動提供者物件。 - name:提供者名稱。
unityCatalog listProviderShares 資料收件者會要求提供者共用的清單。 - name:提供者名稱。
unityCatalog generateTemporaryVolumeCredential 系統會為收件者產生暫時認證,以便存取共用磁碟區。 - share_name:收件者會要求共用的名稱。
- volume_full_name:磁碟區的完整 3 層名稱。
- volume_id:磁碟區的識別碼。
- operationREAD_VOLUMEWRITE_VOLUME 任一項。 針對磁碟區共用,僅支援 READ_VOLUME
- workspace_id:接收使用者要求的工作區識別碼。
unityCatalog generateTemporaryTableCredential 系統會為收件者產生暫時認證,以便存取共用資料表。 - share_name:收件者會要求共用的名稱。
- table_full_name:資料表的完整 3 層名稱。
- table_id:資料表的識別碼。
- operationREADREAD_WRITE 任一項。
- workspace_id:接收使用者要求的工作區識別碼。

其他安全性監視事件

針對傳統計算平面中的 Azure Databricks 計算資源,例如叢集和專業或傳統 SQL 倉儲的 VM,下列功能可啟用其他監視代理程式:

完整性監視事件

下列 capsule8-alerts-dataplane 事件在工作區層級記錄。

服務 動作 描述 要求參數
capsule8-alerts-dataplane Heartbeat 確認監視器處於開啟狀態的一般事件。 目前每 10 分鐘執行一次。 - instanceId
capsule8-alerts-dataplane Memory Marked Executable 記憶體通常會標示為可執行檔,以便允許惡意程式碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體權限設定為可執行檔時會發出警示。 這可能會造成特定應用程式伺服器的誤判。 - instanceId
capsule8-alerts-dataplane File Integrity Monitor 監視重要系統檔案的完整性。 針對這些檔案的任何 未經授權的變更警示。 Databricks 會在映像上定義特定系統路徑集,而且此組路徑可能會隨著時間而變更。 - instanceId
capsule8-alerts-dataplane Systemd Unit File Modified systemd 單元的變更可能會導致安全性控制被放寬或停用,或安裝惡意服務。 每當 systemd 以外的程式修改 systemctl 單元檔案時會發出警示。 - instanceId
capsule8-alerts-dataplane Repeated Program Crashes 重複的程式當機可能表示攻擊者正嘗試惡意探索記憶體損毀漏洞,或受影響的應用程式存在穩定性問題。 當個別程式有超過 5 個執行個體因分割錯誤而當機時會發出警示。 - instanceId
capsule8-alerts-dataplane Userfaultfd Usage 由於容器通常是靜態工作負載,此警示可能表示攻擊者已入侵容器,並嘗試安裝並執行後門程式。 在 30 分鐘內建立或修改的檔案在容器內執行時會發出警示。 - instanceId
capsule8-alerts-dataplane New File Executed in Container 記憶體通常會標示為可執行檔,以便允許惡意程式碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體權限設定為可執行檔時會發出警示。 這可能會造成特定應用程式伺服器的誤判。 - instanceId
capsule8-alerts-dataplane Suspicious Interactive Shell 在現代化生產基礎結構中,互動式殼層很少出現。 當互動式殼層以常用於反向殼層的引數啟動時會發出警示。 - instanceId
capsule8-alerts-dataplane User Command Logging Evasion 逃避命令記錄是攻擊者的常見做法,但也可能表示合法使用者正在執行未經授權的動作,或嘗試逃避原則。 偵測到使用者命令記錄變更,指出使用者嘗試逃避命令記錄時會發出警示。 - instanceId
capsule8-alerts-dataplane BPF Program Executed 偵測某些類型的核心程序後門程式。 載入新的 Berkeley Packet Filter (BPF) 程式可能表示攻擊者正在載入以 BPF 為基礎的 rootkit,以取得持續性並避免偵測。 當程序載入新的特殊權限 BPF 程式時會發出警示,如果程序已經屬於進行中事件的一部分。 - instanceId
capsule8-alerts-dataplane Kernel Module Loaded 攻擊者通常會載入惡意核心程序模組 (rootkits),以逃避偵測並維護遭入侵節點上的持續性。 載入核心程序模組時,如果程式已經屬於進行中事件的一部分,就會發出警示。 - instanceId
capsule8-alerts-dataplane Suspicious Program Name Executed-Space After File 攻擊者可能會建立或重新命名惡意二進位檔,以在名稱結尾包含空格,模擬合法的系統程式或服務。 當執行的程式名稱後有空格時會發出警示。 - instanceId
capsule8-alerts-dataplane Illegal Elevation Of Privileges 核心程序權限提升惡意探索通常會讓不具特殊權限的使用者獲得根權限,而不需要透過標準網關進行權限變更。 當程式嘗試透過不尋常的方式提高權限時會發出警示。 這可能會在具有大量工作負載的節點上發出誤判的警示。 - instanceId
capsule8-alerts-dataplane Kernel Exploit 一般程式無法存取內部核心函式,如果被呼叫,則是一個強烈的指標,表示已執行核心程序惡意探索,且攻擊者已完全控制節點。 當核心函式意外傳回使用者空間時會發出警示。 - instanceId
capsule8-alerts-dataplane Processor-Level Protections Disabled SMEP 和 SMAP 是處理器層級保護,可增加對核心程序成功進行惡意探索的難度,而停用這些限制是核心程序惡意探索的常見早期步驟。 當程式竄改核心程序 SMEP/SMAP 設定時會發出警示。 - instanceId
capsule8-alerts-dataplane Container Escape via Kernel Exploitation 當程式使用容器逸出惡意探索中常用的核心函式時會發出警示,指出攻擊者正在將權限從容器存取提升至節點存取。 - instanceId
capsule8-alerts-dataplane Privileged Container Launched 特殊權限容器可直接存取主機資源,因而在遭入侵時會產生更大的影響。 啟動具有權限的容器時會發出警示,如果容器不是已知具有權限的映像,例如 kube-proxy。 這可能會對合法具有權限的容器發出不必要的警示。 - instanceId
capsule8-alerts-dataplane Userland Container Escape 許多容器逸出會強制主機執行容器內二進位檔,造成攻擊者完全控制受影響的節點。 從容器外部執行容器建立的檔案時會發出警示。 - instanceId
capsule8-alerts-dataplane AppArmor Disabled In Kernel 某些 AppArmor 屬性的修改只能發生在核心程序內,表示核心程序惡意探索或 rootkit 已停用 AppArmor。 當從感應器啟動時偵測到的 AppArmor 組態變更 AppArmor 狀態時會發出警示。 - instanceId
capsule8-alerts-dataplane AppArmor Profile Modified 攻擊者可能會嘗試停用 AppArmor 設定檔的強制執行,以逃避偵測。 在 SSH 工作階段中使用者未執行 AppArmor 設定檔時會發出警示。 - instanceId
capsule8-alerts-dataplane Boot Files Modified 如果未由信任的來源執行 (例如套件管理員或組態管理工具),則修改開機檔案可能表示攻擊者修改核心程序或其選項,以取得主機的持續存取權。 在 /boot 中對檔案進行變更時會發出警示,指出安裝新的核心程序或開機組態。 - instanceId
capsule8-alerts-dataplane Log Files Deleted 記錄管理工具未執行的記錄刪除可能表示攻擊者正試圖移除入侵指標。 刪除系統記錄檔檔案的警示。 - instanceId
capsule8-alerts-dataplane New File Executed 來自系統更新程式以外的來源新建立的檔案可能是後門程式、核心程序惡意探索,或惡意探索鏈結的一部分。 在 30 分鐘內建立或修改的檔案隨後執行時會發出警示,不包括系統更新程式所建立的檔案。 - instanceId
capsule8-alerts-dataplane Root Certificate Store Modified 修改根憑證存放區可能表示已安裝惡意憑證授權單位,從而啟用網路流量攔截或繞過程式碼簽章驗證。 變更系統 CA 憑證存放區時會發出警示。 - instanceId
capsule8-alerts-dataplane Setuid/Setgid Bit Set On File 設定 setuid/setgid 位元可用來為節點上的權限提升提供持續性方法。 在具有 chmod 系列系統呼叫之檔案上設定 setuidsetgid 位時會發出警示。 - instanceId
capsule8-alerts-dataplane Hidden File Created 攻擊者通常會在遭入侵的主機上建立隱藏的檔案,作為遮蔽工具和酬載的方法。 當隱藏的檔案是由與進行中事件相關聯的程序所建立時會發出警示。 - instanceId
capsule8-alerts-dataplane Modification Of Common System Utilities 攻擊者可能會修改系統公用程式,以便在執行這些公用程式時執行惡意酬載。 當未經授權的程序修改通用系統公用程序時會發出警示。 - instanceId
capsule8-alerts-dataplane Network Service Scanner Executed 攻擊者或惡意使用者可能會使用或安裝這些程式來調查連線的網路,尋找其他要入侵的節點。 執行常見的網路掃描程式工具時會發出警示。 - instanceId
capsule8-alerts-dataplane Network Service Created 攻擊者可能會啟動新的網路服務,以便在入侵後輕鬆存取主機。 當程式啟動新的網路服務時,如果程式已經是進行中事件的一部分,就會發出警示。 - instanceId
capsule8-alerts-dataplane Network Sniffing Program Executed 攻擊者或惡意使用者可能會執行網路探查命令來擷取認證、個人識別資訊 (PII) 或其他敏感性資訊。 執行允許網路擷取的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Remote File Copy Detected 使用檔案傳輸工具可能表示攻擊者正嘗試將工具組移至其他主機,或將資料外洩至遠端系統。 如果程式已經屬於進行中事件的一部分,當執行與遠端檔案複製相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Unusual Outbound Connection Detected 命令和控制通道和加密貨幣礦工通常會在不尋常的連接埠上建立新的輸出網路連線。 如果程式已經屬於進行中事件的一部分,當程式在不常見的連接埠上起始新連線時會發出警示。 - instanceId
capsule8-alerts-dataplane Data Archived Via Program 取得系統的存取權之後,攻擊者可能會建立壓縮的檔案封存,以縮小資料,方便外洩。 如果程式已經屬於進行中事件的一部分,當執行資料壓縮程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Process Injection 使用程序插入技術通常表示使用者正在對程式進行偵錯,但也可能表示攻擊者正在讀取祕密,或將程式碼插入其他程序。 當程式使用 ptrace (偵錯) 機制來與另一個程序互動時會發出警示。 - instanceId
capsule8-alerts-dataplane Account Enumeration Via Program 攻擊者通常會使用帳戶列舉程式來判斷其存取層級,並查看其他使用者目前是否登入節點。 如果程式已經屬於進行中事件的一部分,當執行與帳戶列舉相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane File and Directory Discovery Via Program 探索檔案系統是攻擊者尋找相關認證和資料時常見的惡意探索後行為。 如果程式已經屬於進行中事件的一部分,當執行與檔案和目錄列舉相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Network Configuration Enumeration Via Program 攻擊者可以詢問本機網路和路由資訊,以在橫向移動之前識別鄰近的主機和網路。 如果程式已經屬於進行中事件的一部分,當執行與網路設定列舉相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Process Enumeration Via Program 攻擊者通常會列出執行中的程式,以識別節點的目的,以及是否有任何安全性或監視工具。 如果程式已經屬於進行中事件的一部分,當執行與程序列舉相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane System Information Enumeration Via Program 攻擊者通常會執行系統列舉命令來判斷 Linux 核心程序和履行版本與功能,通常用來識別節點是否受到特定漏洞的影響。 如果程式已經屬於進行中事件的一部分,當執行與系統資訊列舉相關聯的程式時會發出警示。 - instanceId
capsule8-alerts-dataplane Scheduled Tasks Modified Via Program 修改排程的工作是在遭入侵的節點上建立持續性的常見方法。 當使用 crontabatbatch 命令修改排程的工作組態時會發出警示。 - instanceId
capsule8-alerts-dataplane Systemctl Usage Detected systemd 單元的變更可能會導致安全性控制被放寬或停用,或安裝惡意服務。 當 systemctl 命令用來修改系統單元時會發出警示。 - instanceId
capsule8-alerts-dataplane User Execution Of su Command 明確向根使用者呈報會降低將具有權限的活動與特定使用者相互關聯的能力。 執行 su 命令時會發出警示。 - instanceId
capsule8-alerts-dataplane User Execution Of sudo Command 執行 sudo 命令時會發出警示。 - instanceId
capsule8-alerts-dataplane User Command History Cleared 刪除歷程記錄檔案是不尋常的行為,通常是由隱藏活動的攻擊者或打算逃避稽核控制的合法使用者執行。 刪除命令列歷程記錄檔案時會發出警示。 - instanceId
capsule8-alerts-dataplane New System User Added 攻擊者可能會將新的使用者新增至主機,提供可靠的存取方法。 如果有新的使用者實體新增至本機帳戶管理檔案 /etc/passwd,且該實體並非由系統更新程式新增,則會發出警示。 - instanceId
capsule8-alerts-dataplane Password Database Modification 攻擊者可能會直接修改身分識別相關檔案,將新使用者新增至系統。 當與更新現有使用者資訊無關的程式修改與使用者密碼相關的檔案時會發出警示。 - instanceId
capsule8-alerts-dataplane SSH Authorized Keys Modification 新增 SSH 公開金鑰是取得遭入侵主機持續存取的常見方法。 如果程式已經屬於進行中事件的一部分,則在嘗試寫入使用者的 SSH authorized_keys 檔案時會發生警示。 - instanceId
capsule8-alerts-dataplane User Account Created Via CLI 在遭入侵的節點上建立持續性時,新增使用者是攻擊者常見的步驟。 當身分識別管理程式是由套件管理員以外的程式執行時會發出警示。 - instanceId
capsule8-alerts-dataplane User Configuration Changes 刪除歷程記錄檔案是不尋常的行為,通常是由隱藏活動的攻擊者或打算逃避稽核控制的合法使用者執行。 刪除命令列歷程記錄檔案時會發出警示。 - instanceId
capsule8-alerts-dataplane New System User Added 使用者設定檔和設定檔通常會修改為持續性方法,以便在使用者登入時執行程式。 系統更新工具以外的程式修改 .bash_profilebashrc (以及相關檔案) 時會發出警示。 - instanceId

防毒軟體監視事件

注意

這些稽核記錄中的 response JSON 物件一律有一個 result 欄位,其中包含一行原始掃描結果。 每個掃描結果通常是由多個稽核記錄來表示,每一行原始掃描輸出各一個。 如需此檔案中可能顯示的詳細資料,請參閱下列第三方文件

下列 clamAVScanService-dataplane 事件在工作區層級記錄。

服務 動作 描述 要求參數
clamAVScanService-dataplane clamAVScanAction 防毒軟體監視會執行掃描。 原始掃描輸出的每一行都會產生記錄。 - instanceId

已被取代的記錄事件

Databricks 已取代下列 databrickssql 診斷事件:

  • createAlertDestination (now createNotificationDestination)
  • deleteAlertDestination (now deleteNotificationDestination)
  • updateAlertDestination (now updateNotificationDestination)
  • muteAlert
  • unmuteAlert

SQL 端點記錄

如果您使用已被取代的 SQL 端點 API 建立 SQL 倉儲 (SQL 倉儲的原名),對應的稽核事件名稱會包含 Endpoint 字樣,而不是 Warehouse。 除了名稱之外,這些事件與 SQL 倉儲事件相同。 若要檢視這些事件的描述和要求參數,請參閱 Databricks SQL 事件中的對應倉儲事件。

SQL 端點事件如下:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig