診斷日誌參考

注意

此功能需要進階版方案。

本文提供了稽核記錄服務和事件的完整參考。 這些服務的可用性取決於您存取記錄的方式：

• 稽核記錄系統數據表 記錄本文中列出的所有事件和服務。
• Azure 監視器的診斷設定服務不會記錄全部的這些服務。 Azure 診斷設定上無法使用的服務會有相應的標籤。

注意

Azure Databricks 會針對安全性和詐騙分析目的，保留最長 1 年的稽核記錄複本。

診斷記錄服務

診斷記錄中預設會記錄下列服務及其事件。

注意

工作區層級和帳戶層級的指派僅適用於審計日志系統表。 Azure 診斷記錄不會包含帳戶層級事件。

工作區層級服務

服務名稱	描述
帳戶	與帳戶、使用者、群組和 IP 存取清單相關的事件。
aibiGenie	與 AI/BI Genie 空間相關的事件。
叢集	與叢集相關的事件。
clusterPolicies	與叢集原則相關的事件。
儀表板	與 AI/BI 儀表板使用相關的事件。
databrickssql	與 Databricks SQL 的使用相關的事件。
dataMonitoring	與 湖屋監控相關的事件。
dbfs	與 DBFS 相關的事件。
deltaPipelines	與 DLT 管線相關的事件。
featureStore	與 Databricks 功能存放區相關的事件。
filesystem	與檔案管理相關的事件，包括使用檔案 API 或磁碟區 UI 與檔案互動。
genie	與支援人員存取工作區相關的事件。 與 AI/BI Genie 空間無關。
gitCredentials	關於 Databricks Git 資料夾的 Git 憑證相關事件。 請參閱 repos。
globalInitScripts	與全域初始化指令碼相關的事件。
群組	與帳戶和工作區群組相關的事件。
iamRole	與 IAM 角色權限相關的事件。
匯入	與檔案上傳相關的事件。
instancePools	與池相關的事件。
工作	與作業相關的事件。
系譜追蹤	與 數據譜系相關的事件。
marketplaceConsumer	與 Databricks Marketplace 相關的消費者行為事件。
marketplaceProvider	與 Databricks Marketplace 中提供者動作相關的事件。
mlflowAcledArtifact	與具有 ACL 的 ML Flow 工件相關的事件。
mlflowExperiment	與 ML Flow 實驗相關的事件。
modelRegistry	與模型登錄相關的事件。
筆記本	與筆記本相關的事件。
partnerConnect	與 Partner Connect 相關的事件。
predictiveOptimization	與預測最佳化相關的事件。
遠端歷史服務 (RemoteHistoryService)	與新增和移除 GitHub 認證相關的事件。
儲存庫	與 Databricks Git 資料夾相關的事件。 請參閱 gitCredentials。
密碼	與祕密相關的事件。
serverlessRealTimeInference	與模型服務相關的事件。
sqlPermissions	與舊版 Hive 中繼存儲資料表存取控管相關的事件。
ssh	與 SSH 存取相關的事件。
vectorSearch	與向量搜尋相關的事件。
webTerminal	與網路終端機功能相關的事件。
工作區	與工作區相關的事件。

帳戶層級服務

帳戶層級稽核記錄可用於這些服務：

服務名稱	描述
帳戶存取控制	與 帳戶訪問控制 API相關的動作。
可計費使用量	與在帳戶主控台中存取可計費使用量相關的操作。
accountsManager	與網路連線設定相關的動作。
budgetPolicyCentral	無伺服器預算原則管理相關動作。
無塵室	與 潔淨室相關的動作。
unityCatalog	在 Unity 目錄中執行的動作。 其中也包含 Delta Sharing 活動，請參閱 Delta Sharing 事件。

其他安全性監視服務

工作區擁有使用 合規性安全性配置檔（如 HIPAA 等某些合規性標準所需）或 增強安全監控 的其他服務和相關動作。

這些是工作區層級的服務，只有在您使用合規性安全性設定檔或增強安全性監控時，才會出現在您的日誌中：

服務名稱	描述
capsule8-alerts-dataplane	與檔案完整性監視相關的動作。
clamAVScanService-dataplane	與防毒監視相關的動作。

診斷記錄範例架構

在 Azure Databricks 中，診斷記錄會以 JSON 格式輸出事件。 在 Azure Databricks 中，稽核記錄會以 JSON 格式輸出事件。 serviceName 和 actionName 屬性會識別事件。 命名慣例遵循 Databricks REST API。

下列 JSON 範例是使用者建立作業時記錄的事件範例：

{
  "TenantId": "<your-tenant-id>",
  "SourceSystem": "|Databricks|",
  "TimeGenerated": "2019-05-01T00:18:58Z",
  "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
  "OperationName": "Microsoft.Databricks/jobs/create",
  "OperationVersion": "1.0.0",
  "Category": "jobs",
  "Identity": {
    "email": "mail@contoso.com",
    "subjectName": null
  },
  "SourceIPAddress": "131.0.0.0",
  "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
  "ServiceName": "jobs",
  "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
  "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
  "ActionName": "create",
  "RequestId": "ServiceMain-206b2474f0620002",
  "Response": {
    "statusCode": 200,
    "result": "{\"job_id\":1}"
  },
  "RequestParams": {
    "name": "Untitled",
    "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
  },
  "Type": "DatabricksJobs"
}

診斷記錄結構的考量

• 如果動作需要很長的時間，則會單獨記錄要求和回應，但要求和回應組具有相同的 requestId。
• 使用者 System-User 执行了一些自動化動作，例如因自動調整而調整叢集大小，或因排程而啟動作業。
• requestParams 欄位可能會被截斷。 如果其 JSON 表示的大小超過 100 KB，則會對值進行截斷，並將字串 ... truncated 附加至被截斷的條目。 在截斷的地圖仍然大於 100 KB 的罕見情況下，則會有一個空值的單一 TRUNCATED 鍵。

帳戶事件

以下是在工作區層級記錄的 accounts 事件。

服務	動作	描述	要求參數
accounts	accountLoginCodeAuthentication	用戶的帳戶登入代碼已經過驗證。	user
accounts	activateUser	停用之後，使用者會重新啟用。 請參閱停用工作區中的使用者。	targetUserName endpoint targetUserId
accounts	aadBrowserLogin	使用者使用 Microsoft Entra ID 瀏覽器工作流程登入 Databricks。	user
accounts	aadTokenLogin	使用者透過 Microsoft Entra ID 權杖登入 Databricks。	user
accounts	add	使用者會新增至 Azure Databricks 工作區。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	將使用者新增至工作區層級群組。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	changeDatabricksSqlAcl	使用者的 Databricks SQL 權限已變更。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	工作區的權限已變更。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenAcl	存取令牌的許可權已變更。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenState	Databricks 存取令牌已停用。	tokenHash tokenState userId
accounts	changeServicePrincipalAcls	當服務主體的權限變更時。	shardName targetServicePrincipal resourceId aclPermissionSet
accounts	createGroup	已建立工作區層級群組。	endpoint targetUserId targetUserName
accounts	createIpAccessList	IP 存取清單會新增至工作區。	ipAccessListId userId
accounts	deactivateUser	工作區中有一位使用者已被停用。 請參閱停用工作區中的使用者。	targetUserName endpoint targetUserId
accounts	delete	使用者會從 Azure Databricks 工作區刪除。	targetUserId targetUserName endpoint
accounts	deleteIpAccessList	IP 存取清單會從工作區中刪除。	ipAccessListId userId
accounts	garbageCollectDbToken	使用者會對過期的權杖執行垃圾回收命令。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	當有人從使用者設定中產生權杖，或服務自動產生權杖時。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	IpAccessDenied	使用者嘗試透過拒絕的 IP 連線到服務。	path user userId
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	使用者使用 JWT 登入 Databricks。	user authenticationMethod
accounts	login	使用者登入工作區。	user authenticationMethod
accounts	logout	使用者登出工作區。	user
accounts	oidcTokenAuthorization	當 API 呼叫透過通用的 OIDC/OAuth 權杖被授權時。	user authenticationMethod
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	當目前未過期的權杖數目超過權杖配額時
accounts	removeAdmin	使用者的工作區管理員權限已被撤銷。	targetUserName endpoint targetUserId
accounts	removeGroup	工作區中的一個群組被移除。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	使用者會從群組中移除。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	revokeDbToken	使用者的權杖會從工作區移除。 可由從 Databricks 帳戶移除的使用者觸發。	userId tokenHash
accounts	setAdmin	使用者被授與帳戶管理員權限。	endpoint targetUserName targetUserId
accounts	tokenLogin	使用者使用權杖登入 Databricks。	tokenId user authenticationMethod
accounts	updateIpAccessList	IP 存取清單已變更。	ipAccessListId userId
accounts	updateUser	對使用者帳戶進行變更。	endpoint targetUserName targetUserId
accounts	validateEmail	當使用者在帳戶建立後驗證其電子郵件時。	endpoint targetUserName targetUserId
accounts	workspaceLoginCodeAuthentication	使用者的工作區登入代碼已經過驗證。	user authenticationMethod

AI/BI 儀表板事件

以下是在工作區層級記錄的 dashboards 事件。

服務	動作	描述	要求參數
dashboards	getDashboard	使用者可以透過在 UI 中檢視或使用 API 要求儀表板定義來存取儀表板的草稿版本。 只有工作區使用者可存取儀表板的草稿版本。	dashboard_id
dashboards	getPublishedDashboard	使用者可藉由在 UI 中檢視或使用 API 要求儀表板定義，以存取儀表板的已發佈版本。 包含來自工作區使用者和帳戶使用者的活動。 不包括使用排程電子郵件接收儀表板的 PDF 快照。	dashboard_id credentials_embedded
dashboards	executeQuery	使用者會從儀表板執行查詢。	dashboard_id statement_id
dashboards	cancelQuery	使用者從面板停止查詢。	dashboard_id statement_id
dashboards	getQueryResult	使用者從儀表板接收查詢的結果。	dashboard_id statement_id
dashboards	sendDashboardSnapshot	儀表板的 PDF 快照透過預定的電子郵件發送。 要求參數值取決於收件者的類型。 針對 Databricks 通知目標，只會顯示 destination_id。 針對 Databricks 使用者，會顯示訂閱者的使用者識別碼和電子郵件地址。 如果收件者是電子郵件地址，則只會顯示電子郵件地址。	dashboard_id subscriber_destination_id subscriber_user_details: { user_id, email_address }
dashboards	getDashboardDetails	使用者存取草稿儀表板的詳細資料，例如資料集和小工具。 每當使用者通過UI檢視草稿儀錶板或通過API請求儀錶板定義時，系統會自動發出 getDashboardDetails。	dashboard_id
dashboards	createDashboard	使用者會使用 UI 或 API 建立新的 AI/BI 儀表板。	dashboard_id
dashboards	updateDashboard	使用者會使用 UI 或 API 來更新 AI/BI 儀表板。	dashboard_id
dashboards	cloneDashboard	使用者複製了 AI/BI 儀表板。	source_dashboard_id new_dashboard_id
dashboards	publishDashboard	使用者使用UI或API來發佈具有或不含內嵌認證的AI/BI儀錶板。	dashboard_id credentials_embedded warehouse_id
dashboards	unpublishDashboard	使用者使用 UI 或 API 解除已發佈的 AI/BI 儀表板。	dashboard_id
dashboards	trashDashboard	使用者會使用儀錶板 UI 或 Lakeview API 命令，將儀錶板移至垃圾桶。 只有透過這些通道執行時才會記錄此事件，工作區動作則不會記錄。 若要稽核工作區動作，請參閱 工作區事件	dashboard_id
dashboards	restoreDashboard	使用者透過儀錶板 UI 或 Lakeview API 命令，將 AI/BI 儀錶板從回收站還原。 只有透過這些通道執行時才會記錄此事件，工作區動作則不會記錄。 若要稽核工作區動作，請參閱 工作區事件	dashboard_id
dashboards	migrateDashboard	使用者會將 DBSQL 儀表板移轉至 AI/BI 儀表板。	source_dashboard_id new_dashboard_id
dashboards	createSchedule	使用者建立電子郵件訂閱排程。	dashboard_id schedule_id
dashboards	updateSchedule	使用者更新了 AI/BI 儀表板的排程。	dashboard_id schedule_id
dashboards	deleteSchedule	使用者會刪除 AI/BI 儀表板的排程。	dashboard_id schedule_id
dashboards	createSubscription	使用者會訂閱 AI/BI 儀表板排程的電子郵件目的地。	dashboard_id schedule_id schedule
dashboards	deleteSubscription	使用者會從 AI/BI 儀表板排程中刪除電子郵件目的地。	dashboard_id schedule_id

AI/BI Genie 事件

以下是在工作區層級記錄的 aibiGenie 事件。

服務	動作	描述	要求參數
aibiGenie	createSpace	使用者會建立新的 Genie 空間。 新空間的 space_id 會記錄在 response 數據行中。
aibiGenie	getSpace	使用者進入 Genie 空間。	space_id
aibiGenie	updateSpace	使用者更新 Genie 空間的設定。 可能的設定包括標題、描述、倉儲、數據表和範例問題。	space_id display_name description warehouse_id table_identifiers
aibiGenie	trashSpace	一個Genie空間被移到垃圾箱。	space_id
aibiGenie	cloneSpace	用戶複製了 Genie 空間。	space_id
aibiGenie	createConversation	使用者會在 Genie 空間中建立新的對話線程。	space_id
aibiGenie	listConversations	使用者會在 Genie 空間中開啟交談清單。	space_id
aibiGenie	getConversation	使用者會在 Genie 空間中開啟對話線程。	conversation_id space_id
aibiGenie	updateConversation	使用者會更新交談線程的標題。	conversation_id space_id
aibiGenie	deleteConversation	使用者刪除 Genie 空間中的交談線程。	conversation_id space_id
aibiGenie	listGenieSpaceMessages	具有 CAN MANAGE 許可權的使用者會存取 Genie 空間的歷程記錄，其中包括所有使用者提交的訊息。	space_id
aibiGenie	listGenieSpaceUserMessages	至少有 CAN VIEW 許可權的使用者會存取 Genie 空間的歷程記錄，並檢視自己先前提交的訊息。	space_id
aibiGenie	executeFullQueryResult	使用者會擷取完整的查詢結果（大小上限為 ~1GB）。	space_id conversation_id message_id
aibiGenie	getMessageQueryResult	Genie 會擷取與交談訊息相關聯的查詢結果。	conversation_id space_id、message_id
aibiGenie	updateMessageAttachment	使用者更新並重新執行訊息中的查詢。	conversation_id space_id message_id attachment_id
aibiGenie	createConversationMessage	用戶會將新訊息提交至 Genie 空間。	conversation_id space_id
aibiGenie	getConversationMessage	使用者存取 Genie 空間中的訊息。	conversation_id space_id message_id
aibiGenie	deleteConversationMessage	使用者刪除現有的訊息。	conversation_id space_id message_id
aibiGenie	regenerateConversationMessage	使用者重新產生對現有訊息的 Genie 回應。	conversation_id space_id message_id
aibiGenie	updateConversationMessage	使用者在 Genie 空間中更新訊息的屬性。 例如，他們可能會要求檢閱或編輯回應中的 SQL。	conversation_id space_id message_id
aibiGenie	updateConversationMessageFeedback	一位使用者會更新他們對 Genie 答案的讚成或反對評分。	conversation_id space_id message_id feedback_rating
aibiGenie	executeMessageQuery	Genie 會執行產生的 SQL 來傳回查詢結果，包括重新整理數據動作。	conversation_id space_id message_id
aibiGenie	cancelMessage	使用者會在 Genie 完成回應之前取消訊息。	conversation_id space_id message_id
aibiGenie	createInstruction	使用者為 Genie 空間創建操作指令。	space_id instruction_type
aibiGenie	listInstructions	使用者流覽至 [指示] 索引標籤或 [資料] 索引標籤。	space_id
aibiGenie	updateInstruction	使用者更新了 Genie 空間的指令。	space_id instruction_id
aibiGenie	deleteInstruction	使用者刪除了對 Genie 空間的指令。	space_id instruction_id
aibiGenie	updateSampleQuestions	使用者會更新空間的預設範例問題。	space_id
aibiGenie	createCuratedQuestion	使用者會建立範例問題或基準檢驗問題。	space_id
aibiGenie	deleteCuratedQuestion	使用者刪除範例問題或基準檢驗問題。	space_id curated_question_id
aibiGenie	listCuratedQuestions	使用者存取空間中的範例問題或基準檢驗問題清單。 每當用戶開啟新的聊天、檢視基準檢驗或新增範例問題時，就會記錄此記錄。	space_id
aibiGenie	updateCuratedQuestion	使用者會更新範例問題或基準檢驗問題。	space_id curated_question_id
aibiGenie	createEvaluationResult	Genie 會在評估回合中為特定問題建立評估結果。	space_id eval_id
aibiGenie	getEvaluationResult	用戶在評估回合中存取特定問題的結果。	space_id eval_id
aibiGenie	getEvaluationResultDetails	用戶在評估回合中存取特定問題的查詢結果。	space_id eval_id
aibiGenie	updateEvaluationResult	用戶會針對特定問題更新其評估結果。	space_id eval_id
aibiGenie	createEvaluationRun	使用者會建立新的評估回合。	space_id
aibiGenie	listEvaluationResults	使用者存取評估回合的結果清單。	space_id run_id
aibiGenie	listEvaluationRuns	使用者存取所有評估作業的清單。	space_id
aibiGenie	createConversationMessageComment	用戶在交談訊息中新增反饋評論。	conversation_id space_id message_id
aibiGenie	listConversationMessageComments	使用者從某空間存取意見回饋清單。	space_id conversation_ids message_ids user_ids comment_types
aibiGenie	deleteConversationMessageComment	使用者刪除新增至交談訊息的意見反應批注。	conversation_id space_id message_id message_comment_id

叢集事件

以下是在工作區層級記錄的 cluster 事件。

服務	動作	描述	要求參數
clusters	changeClusterAcl	使用者會變更叢集 ACL。	shardName aclPermissionSet targetUserId resourceId
clusters	create	使用者會建立叢集。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	createResult	叢集建立的結果。 與 create 搭配使用。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	delete	叢集已被終止。	cluster_id
clusters	deleteResult	叢集終止的結果。 與 delete 搭配使用。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	edit	使用者對叢集設定進行變更。 這會記錄除叢集大小或自動調整行為變更以外的所有變更。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	permanentDelete	叢集會從 UI 中刪除。	cluster_id
clusters	resize	叢集正在調整大小。 當叢集執行時，唯一變更的屬性是叢集大小或自動調整行為，系統會記錄這些變更。	cluster_id num_workers autoscale
clusters	resizeResult	叢集調整大小的結果。 與 resize 搭配使用。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	restart	使用者重新啟動執行中的叢集。	cluster_id
clusters	restartResult	叢集重新啟動的結果。 與 restart 搭配使用。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	start	使用者啟動叢集。	init_scripts_safe_mode cluster_id
clusters	startResult	叢集啟動後的結果。 與 start 搭配使用。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId

叢集程式庫事件

以下是在工作區層級記錄的 clusterLibraries 事件。

服務	動作	描述	要求參數
clusterLibraries	installLibraries	使用者在叢集上安裝程式庫。	cluster_id libraries
clusterLibraries	uninstallLibraries	使用者卸載叢集上的程式庫。	cluster_id libraries
clusterLibraries	installLibraryOnAllClusters	工作區管理員會排程程式庫以安裝在所有叢集上。	user library
clusterLibraries	uninstallLibraryOnAllClusters	工作區管理員從清單中移除一個程式庫，這樣它將不會安裝在所有叢集上。	user library

叢集原則事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

以下是在工作區層級記錄的 clusterPolicies 事件。

服務	動作	描述	要求參數
clusterPolicies	create	使用者已建立叢集原則。	name
clusterPolicies	edit	使用者已編輯叢集原則。	policy_id name
clusterPolicies	delete	使用者已刪除叢集原則。	policy_id
clusterPolicies	changeClusterPolicyAcl	工作區管理員會變更叢集原則的權限。	shardName targetUserId resourceId aclPermissionSet

Databricks SQL 事件

以下是在工作區層級記錄的 databrickssql 事件。

注意

如果您使用舊版 SQL 端點 API 來管理 SQL 倉儲，您的 SQL 倉儲稽核事件將會有不同的動作名稱。 請參閱 SQL 端點記錄。

服務	動作	描述	要求參數
databrickssql	addDashboardWidget	儀表板上已新增一個元件。	dashboardId widgetId
databrickssql	cancelQueryExecution	查詢執行已從 SQL 編輯器 UI 取消。 這不包括源自查詢歷史記錄 UI 或 Databricks SQL 執行 API 的取消。	queryExecutionId
databrickssql	changeEndpointAcls	倉儲管理員會更新 SQL 倉儲的權限。	aclPermissionSet resourceId shardName targetUserId
databrickssql	changePermissions	使用者會更新物件的權限。	granteeAndPermission objectId objectType
databrickssql	cloneDashboard	使用者會複製儀表板。	dashboardId
databrickssql	commandSubmit	僅在冗長稽核記錄中。 不論要求的來源為何，在命令提交至 SQL 倉儲時產生。	warehouseId commandId validation commandText
databrickssql	commandFinish	僅在冗長稽核記錄中。 不論取消要求的來源為何，在 SQL 倉儲上的命令完成或取消時產生。	warehouseId commandId
databrickssql	createAlert	使用者會建立警示。	alertId
databrickssql	createNotificationDestination	工作區管理員會建立通知目的地。	notificationDestinationId notificationDestinationType
databrickssql	createDashboard	使用者會建立儀表板。	dashboardId
databrickssql	createDataPreviewDashboard	使用者會建立資料預覽儀表板。	dashboardId
databrickssql	createWarehouse	具有叢集建立權利的使用者會建立 SQL 倉儲。	auto_resume auto_stop_mins channel cluster_size conf_pairs custom_cluster_confs enable_databricks_compute enable_photon enable_serverless_compute instance_profile_arn max_num_clusters min_num_clusters name size spot_instance_policy tags test_overrides
databrickssql	createQuery	使用者會建立新的查詢。	queryId
databrickssql	createQueryDraft	使用者會建立查詢草稿。	queryId
databrickssql	createQuerySnippet	使用者會建立查詢程式碼片段。	querySnippetId
databrickssql	createSampleDashboard	使用者會建立範例儀表板。	sampleDashboardId
databrickssql	createVisualization	使用者會使用 SQL 編輯器產生視覺效果。 排除使用 SQL 倉儲之筆記本中的預設結果數據表和視覺效果。	queryId visualizationId
databrickssql	deleteAlert	使用者會從警示介面或透過 API 刪除警示。 排除檔案瀏覽器 UI 中的刪除項目。	alertId
databrickssql	deleteNotificationDestination	工作區管理員會刪除通知目的地。	notificationDestinationId
databrickssql	deleteDashboard	使用者會從儀表板介面或透過 API 刪除儀表板。 不包括經由檔案瀏覽器介面進行的刪除。	dashboardId
databrickssql	deleteDashboardWidget	使用者會刪除儀表板小工具。	widgetId
databrickssql	deleteWarehouse	倉儲管理員會刪除 SQL 倉儲。	id
databrickssql	deleteQuery	使用者會從查詢介面或透過 API 刪除查詢。 不包括經由檔案瀏覽器介面進行的刪除。	queryId
databrickssql	deleteQueryDraft	使用者會刪除查詢草稿。	queryId
databrickssql	deleteQuerySnippet	使用者會刪除查詢程式碼片段。	querySnippetId
databrickssql	deleteVisualization	使用者會從 SQL 編輯器的查詢中刪除視覺效果。	visualizationId
databrickssql	downloadQueryResult	使用者會從 SQL 編輯器下載查詢結果。 排除來自儀表板的下載	fileType queryId queryResultId credentialsEmbedded credentialsEmbeddedId
databrickssql	editWarehouse	倉儲管理員會編輯 SQL 倉儲。	auto_stop_mins channel cluster_size confs enable_photon enable_serverless_compute id instance_profile_arn max_num_clusters min_num_clusters name spot_instance_policy tags
databrickssql	executeAdhocQuery	由下列其中一項產生： 使用者在 SQL 編輯器中執行查詢草稿 查詢是從可視化聚合中執行 用戶載入儀錶板並執行基礎查詢	dataSourceId
databrickssql	executeSavedQuery	使用者會執行已儲存的查詢。	queryId
databrickssql	executeWidgetQuery	由執行查詢的任何事件產生，讓儀表板面板重新整理。 適用事件的一些範例包括： 重新整理單一面板 重新整理整個儀錶板 儀錶板的排程執行 超過 64,000 個數據列的參數或篩選變更	widgetId
databrickssql	favoriteDashboard	使用者收藏儀表板。	dashboardId
databrickssql	favoriteQuery	使用者將查詢加入最愛。	queryId
databrickssql	forkQuery	使用者複製查詢。	originalQueryId queryId
databrickssql	listQueries	使用者開啟查詢清單頁面，或呼叫清單查詢 API。	filter_by include_metrics max_results page_token
databrickssql	moveAlertToTrash	使用者將警示移至垃圾桶。	alertId
databrickssql	moveDashboardToTrash	使用者將儀表板移至垃圾桶。	dashboardId
databrickssql	moveQueryToTrash	使用者將查詢移至垃圾桶。	queryId
databrickssql	restoreAlert	使用者從垃圾箱還原警示。	alertId
databrickssql	restoreDashboard	使用者從垃圾箱回收儀表板。	dashboardId
databrickssql	restoreQuery	使用者從資源回收桶還原查詢。	queryId
databrickssql	setWarehouseConfig	倉儲管理員會設定 SQL 倉儲的組態。	data_access_config enable_serverless_compute instance_profile_arn security_policy serverless_agreement sql_configuration_parameters try_create_databricks_managed_starter_warehouse
databrickssql	snapshotDashboard	使用者要求儀表板的快照。 包含排程的儀表板快照。	dashboardId
databrickssql	startWarehouse	啟動 SQL 倉儲。	id
databrickssql	stopWarehouse	倉儲管理員會停止 SQL 倉儲。 排除自動停止的倉儲。	id
databrickssql	transferObjectOwnership	工作區管理員會透過傳送物件所有權 API，將儀表板、查詢或警示的所有權轉移給作用中使用者。 此稽核記錄事件不會擷取透過UI或更新API完成的擁有權傳輸。	newOwner objectId objectType
databrickssql	unfavoriteDashboard	使用者從收藏中移除儀表板。	dashboardId
databrickssql	unfavoriteQuery	使用者從我的最愛中移除查詢。	queryId
databrickssql	updateAlert	使用者對警示進行更新。 如果使用 API 傳輸警示所有權，則會填入 ownerUserName。	alertId queryId ownerUserName
databrickssql	updateNotificationDestination	工作區管理員會更新通知目的地。	notificationDestinationId
databrickssql	updateDashboardWidget	用戶對儀錶板小工具進行更新。 排除軸刻度的變更。 適用的更新範例包括： 更改小工具的大小或位置 新增或移除小工具參數	widgetId
databrickssql	updateDashboard	用戶對儀錶板屬性進行更新。 排除排程和訂閱項目的變更。 適用的更新範例包括： 儀錶板名稱變更 變更為 SQL 倉儲 變更為 執行身分 設定	dashboardId
databrickssql	updateOrganizationSetting	工作區管理員會更新工作區的 SQL 設定。	has_configured_data_access has_explored_sql_warehouses has_granted_permissions
databrickssql	updateQuery	使用者對查詢進行更新。 如果使用 API 傳輸查詢所有權，則會填入 ownerUserName。	queryId ownerUserName
databrickssql	updateQueryDraft	使用者對查詢草稿進行更新。	queryId
databrickssql	updateQuerySnippet	使用者對查詢片段進行更新。	querySnippetId
databrickssql	updateVisualization	使用者會從 SQL 編輯器或儀表板更新視覺效果。	visualizationId

資料監視事件

下列 dataMonitoring 事件於工作區層級記錄。

服務	動作	描述	要求參數
dataMonitoring	CreateMonitor	使用者會建立監視器。	data_classification_config full_table_name_arg assets_dir schedule output_schema_name notifications inference_log
dataMonitoring	UpdateMonitor	使用者對監視器進行更新。	data_classification_config table_name full_table_name_arg drift_metrics_table_name dashboard_id custom_metrics assets_dir monitor_version profile_metrics_table_name baseline_table_name status output_schema_name inference_log slicing_exprs
dataMonitoring	DeleteMonitor	使用者會刪除監視器。	full_table_name_arg
dataMonitoring	RunRefresh	手動或依排程刷新監視器。	full_table_name_arg

DBFS 事件

下表包含在工作區層級記錄的 dbfs 事件。

DBFS 事件有兩種類型：API 呼叫和作業事件。

DBFS API 事件

僅當透過 DBFS REST API 寫入時，才會記錄下列 DBFS 稽核事件。

服務	動作	描述	要求參數
dbfs	addBlock	使用者會將資料區塊附加至串流。 這會與 dbfs/create 搭配使用，將資料串流至 DBFS。	handle data_length
dbfs	create	使用者開啟串流以將檔案寫入 DBF 文件中。	path bufferSize overwrite
dbfs	delete	使用者會從 DBF 刪除檔案或目錄。	recursive path
dbfs	mkdirs	使用者會建立新的 DBFS 目錄。	path
dbfs	move	使用者將檔案從 DBF 內的一個位置移至另一個位置。	dst source_path src destination_path
dbfs	put	使用者透過多部分表單提交至 DBFs 來上傳檔案。	path overwrite

DBFS 運作事件

下列 DBFS 稽核事件在計算平面上發生。

服務	動作	描述	要求參數
dbfs	mount	使用者會在特定 DBFS 位置建立掛接點。	mountPoint owner
dbfs	unmount	使用者會移除特定 DBFS 位置的掛接點。	mountPoint

Delta 管線事件

服務	動作	描述	要求參數
deltaPipelines	changePipelineAcls	使用者變更管道的權限。	shardId targetUserId resourceId aclPermissionSet
deltaPipelines	create	使用者建立 DLT 管線。	allow_duplicate_names clusters configuration continuous development dry_run id libraries name storage target channel edition photon
deltaPipelines	delete	使用者刪除 DLT 管線。	pipeline_id
deltaPipelines	edit	用戶編輯 DLT 管線。	allow_duplicate_names clusters configuration continuous development expected_last_modified id libraries name pipeline_id storage target channel edition photon
deltaPipelines	startUpdate	使用者重新啟動 DLT 管線。	cause full_refresh job_task pipeline_id
deltaPipelines	stop	使用者停止了一條 DLT 管線。	pipeline_id

功能存放區事件

下列 featureStore 事件於工作區層級記錄。

服務	動作	描述	要求參數
featureStore	addConsumer	消費者被新增至特徵庫。	features job_run notebook
featureStore	addDataSources	數據源會新增至功能數據表。	feature_table paths, tables
featureStore	addProducer	製作人已新增至功能表格。	feature_table job_run notebook
featureStore	changeFeatureTableAcl	功能數據表中的許可權已變更。	aclPermissionSet resourceId shardName targetUserId
featureStore	createFeatureTable	功能數據表已建立。	description name partition_keys primary_keys timestamp_keys
featureStore	createFeatures	功能會在功能數據表中建立。	feature_table features
featureStore	deleteFeatureTable	功能數據表已刪除。	name
featureStore	deleteTags	標籤會從功能數據表中刪除。	feature_table_id keys
featureStore	getConsumers	用戶發出請求以獲取功能表格中的消費者。	feature_table
featureStore	getFeatureTable	用戶呼叫 以取得功能數據表。	name
featureStore	getFeatureTablesById	用戶呼叫 以取得功能數據表標識碼。	ids
featureStore	getFeatures	用戶撥打電話以取得功能。	feature_table max_results
featureStore	getModelServingMetadata	用戶呼叫 以取得模型服務元數據。	feature_table_features
featureStore	getOnlineStore	用戶撥打電話以取得在線商店詳細數據。	cloud feature_table online_table store_type
featureStore	getTags	用戶發出請求以獲取功能表的標籤。	feature_table_id
featureStore	publishFeatureTable	特性表已發行。	cloud feature_table host online_table port read_secret_prefix store_type write_secret_prefix
featureStore	searchFeatureTables	用戶搜尋功能數據表。	max_results page_token text
featureStore	setTags	標籤會新增至功能數據表。	feature_table_id tags
featureStore	updateFeatureTable	功能數據表已更新。	description name

檔案事件

下列 filesystem 事件於工作區層級記錄。

服務	動作	描述	要求參數
filesystem	filesGet	使用者會使用檔案 API 或磁碟區 UI 下載檔案。	path transferredSize
filesystem	filesPut	使用者會使用檔案 API 或磁碟區 UI 上傳檔案。	path receivedSize
filesystem	filesDelete	使用者會使用檔案 API 或磁碟區 UI 刪除檔案。	path
filesystem	filesHead	使用者會使用檔案 API 或磁碟區 UI 取得檔案的相關信息。	path

Genie 事件

下列 genie 事件於工作區層級記錄。

注意

此服務與 AI/BI Genie 空間無關。 請參閱 AI/BI Genie 事件。

服務	動作	描述	要求參數
genie	databricksAccess	Databricks 人員有權存取客戶環境。	duration approver reason authType user

Git 憑證事件

下列 gitCredentials 事件於工作區層級記錄。

服務	動作	描述	要求參數
gitCredentials	getGitCredential	使用者取得 Git 認證。	id
gitCredentials	listGitCredentials	用戶列出所有 Git 認證	none
gitCredentials	deleteGitCredential	使用者會刪除 Git 認證。	id
gitCredentials	updateGitCredential	使用者會更新 Git 認證。	id git_provider git_username
gitCredentials	createGitCredential	使用者會建立 Git 認證。	git_provider git_username

全域初始化指令碼事件

下列 globalInitScripts 事件於工作區層級記錄。

服務	動作	描述	要求參數
globalInitScripts	create	工作區管理員會建立全域初始化指令碼。	name position script-SHA256 enabled
globalInitScripts	update	工作區管理員會更新全域初始化指令碼。	script_id name position script-SHA256 enabled
globalInitScripts	delete	工作區管理員會刪除全域初始化指令碼。	script_id

群組事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 groups 事件於工作區層級記錄。 這些動作與舊版 ACL 群組相關。 如需帳戶和工作區層級群組的相關動作，請參閱帳戶事件和帳戶層級帳戶事件。

服務	動作	描述	要求參數
groups	addPrincipalToGroup	管理員可以將使用者新增至群組。	user_name parent_name
groups	createGroup	系統管理員會建立群組。	group_name
groups	getGroupMembers	系統管理員檢視群組成員。	group_name
groups	getGroups	系統管理員檢視群組清單	無
groups	getInheritedGroups	系統管理員檢視繼承的群組	none
groups	removeGroup	系統管理員會移除群組。	group_name

IAM 角色事件

下列 iamRole 事件在工作區級別被記錄。

服務	動作	描述	要求參數
iamRole	changeIamRoleAcl	工作區管理員會變更 IAM 角色的權限。	targetUserId shardName resourceId aclPermissionSet

資料匯入事件

下列 ingestion 事件在工作區級別被記錄。

服務	動作	描述	要求參數
ingestion	proxyFileUpload	使用者會將檔案上傳至其 Azure Databricks 工作區。	x-databricks-content-length-0 x-databricks-total-files

實例池事件

下列 instancePools 事件於工作區層級記錄。

服務	動作	描述	要求參數
instancePools	changeInstancePoolAcl	使用者正在更改實例池的權限。	shardName resourceId targetUserId aclPermissionSet
instancePools	create	使用者建立一個執行個體集區。	enable_elastic_disk preloaded_spark_versions idle_instance_autotermination_minutes instance_pool_name node_type_id custom_tags max_capacity min_idle_instances aws_attributes
instancePools	delete	使用者會刪除執行個體集區。	instance_pool_id
instancePools	edit	使用者會編輯執行個體集區。	instance_pool_name idle_instance_autotermination_minutes min_idle_instances preloaded_spark_versions max_capacity enable_elastic_disk node_type_id instance_pool_id aws_attributes

作業事件

下列 jobs 事件於工作區層級記錄。

服務	動作	描述	要求參數
jobs	cancel	作業執行已取消。	run_id
jobs	cancelAllRuns	使用者會取消作業上的所有執行。	job_id
jobs	changeJobAcl	使用者更新作業的權限。	shardName aclPermissionSet resourceId targetUserId
jobs	create	使用者會建立工作。	spark_jar_task email_notifications notebook_task spark_submit_task timeout_seconds libraries name spark_python_task job_type new_cluster existing_cluster_id max_retries schedule run_as
jobs	delete	使用者刪除一個工作。	job_id
jobs	deleteRun	使用者刪除作業執行。	run_id
jobs	getRunOutput	用戶進行 API 呼叫以取得執行輸出。	run_id is_from_webapp
jobs	repairRun	使用者修復待處理的工作。	run_id latest_repair_id rerun_tasks
jobs	reset	工作已重設。	job_id new_settings
jobs	resetJobAcl	使用者要求變更作業的權限。	grants job_id
jobs	runCommand	當啟用詳細的稽核記錄時，該功能可使用。 在作業運行執行筆記本中的命令後發出。 命令會對應至筆記本中的儲存格。	jobId runId notebookId executionTime status commandId commandText
jobs	runFailed	作業執行失敗。	jobClusterType jobTriggerType jobId jobTaskType runId jobTerminalState idInJob orgId runCreatorUserName
jobs	runNow	使用者觸發即時作業執行。	notebook_params job_id jar_params workflow_context
jobs	runStart	當作業執行在驗證和叢集建立之後啟動時發出。 從這個事件發出的要求參數取決於作業中的工作類型。 除了列出的參數之外，還可以包括： dashboardId （適用於 SQL 儀錶板工作） filePath （適用於 SQL 檔案工作） notebookPath （適用於筆記本任務） mainClassName （適用於 Spark JAR 工作） pythonFile （適用於 Spark JAR 工作） projectDirectory （適用於 dbt 任務） commands （適用於「dbt」工作） packageName （適用於 Python 輪子任務） entryPoint （適用於 Python 輪子任務） pipelineId （適用於管線工作） queryIds （適用於 SQL 查詢工作） alertId （適用於 SQL 警示工作）	taskDependencies multitaskParentRunId orgId idInJob jobId jobTerminalState taskKey jobTriggerType jobTaskType runId runCreatorUserName
jobs	runSucceeded	任務運行成功。	idInJob jobId jobTriggerType orgId runId jobClusterType jobTaskType jobTerminalState runCreatorUserName
jobs	runTriggered	作業排程會根據其排程或觸發條件自動觸發。	jobId jobTriggeredType runId
jobs	sendRunWebhook	當作業開始、完成或失敗時，系統會傳送 Webhook。	orgId jobId jobWebhookId jobWebhookEvent runId
jobs	setTaskValue	用戶設定任務的值。	run_id key
jobs	submitRun	使用者透過 API 提交一次性運行。	shell_command_task run_name spark_python_task existing_cluster_id notebook_task timeout_seconds libraries new_cluster spark_jar_task
jobs	update	使用者編輯工作的設定。	job_id fields_to_remove new_settings is_from_dlt

脈絡追蹤事件

下列 lineageTracking 事件於工作區層級記錄。

服務	動作	描述	要求參數
lineageTracking	listColumnLineages	使用者存取某個欄位的上游或下游欄位的清單。	table_name column_name lineage_direction：譜系方向（UPSTREAM 或 DOWNSTREAM）。
lineageTracking	listSecurableLineagesBySecurable	使用者存取可保護物件的上游或下游可保護物件清單。	securable_full_name securable_type lineage_direction：譜系方向（UPSTREAM 或 DOWNSTREAM）。
lineageTracking	listEntityLineagesBySecurable	使用者存取會對安全物件進行讀寫操作的實體清單（例如筆記本、工作等）。	securable_full_name securable_type lineage_direction：譜系方向（UPSTREAM 或 DOWNSTREAM）。 entity_response_filter：實體類型（筆記本、作業、儀錶板、管線、查詢、服務端點等）。
lineageTracking	getColumnLineages	使用者取得資料表及其欄位譜系的資訊。	table_name column_name
lineageTracking	getTableEntityLineages	使用者取得數據表的上游和下游譜系。	table_name include_entity_lineage
lineageTracking	getJobTableLineages	使用者取得作業的上游和下游數據表譜系。	job_id
lineageTracking	getFunctionLineages	使用者取得函式的上游和下游可安全物件和實體（如筆記本、工作等）。	function_name
lineageTracking	getModelVersionLineages	使用者取得某個模型及其版本的上游和下游可安全管理物件和數據實體（如筆記本、作業等）。	model_name version
lineageTracking	getEntityTableLineages	使用者可取得某個實體（例如筆記本、作業等）的上游和下游資料表。	entity_type entity_id
lineageTracking	getFrequentlyJoinedTables	使用者取得針對某個數據表的經常聯結的數據表。	table_name
lineageTracking	getFrequentQueryByTable	使用者取得數據表的常見查詢。	source_table_name
lineageTracking	getFrequentUserByTable	使用者取得數據表的常用使用者。	table_name
lineageTracking	getTablePopularityByDate	用戶在過去一個月中取得特定數據表的受歡迎程度（查詢次數）。	table_name
lineageTracking	getPopularEntities	使用者取得表格的常用實體（筆記本、作業等）。	scope：指定從工作區或數據表名稱擷取熱門實體的範圍。 table_name
lineageTracking	getPopularTables	使用者取得資料表清單中的熱門資訊。	scope：指定從中繼存放區或數據表清單擷取熱門數據表的範圍。 table_name_list

Marketplace 消費者活動

下列 marketplaceConsumer 事件於工作區層級記錄。

服務	動作	描述	要求參數
marketplaceConsumer	getDataProduct	使用者可透過 Databricks Marketplace 存取資料產品。	listing_id listing_name share_name catalog_name request_context：取得數據產品存取權之帳戶和中繼存放區的相關信息陣列
marketplaceConsumer	requestDataProduct	使用者要求存取需要提供者核准的資料產品。	listing_id listing_name catalog_name request_context：要求存取數據產品之帳戶和中繼存放區的相關信息陣列

Marketplace 供應商事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 marketplaceProvider 事件於工作區層級記錄。

服務	動作	描述	要求參數
marketplaceProvider	createListing	中繼存放區系統管理員會在其提供者設定檔中建立清單。	listing：清單詳細數據的陣列 request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	updateListing	中繼存放區管理員會更新其提供者資料中的列表。	id listing：清單詳細數據的陣列 request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	deleteListing	Metastore 系統管理員刪除了他們資料提供者設定檔中的清單。	id request_context：提供者帳戶和中繼存放區的詳細數據陣列
marketplaceProvider	updateConsumerRequestStatus	中繼存放區系統管理員會核准或拒絕資料產品要求。	listing_id request_id status reason share：有關分享資訊的陣列 request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	createProviderProfile	Metastore管理員建立提供者設定檔。	provider：提供者相關信息的陣列 request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	updateProviderProfile	中繼資料儲存區管理員對其提供者配置檔進行更新。	id provider：提供者相關信息的陣列 request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	deleteProviderProfile	中繼存放區系統管理員刪除其供應商設定檔。	id request_context：提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider	uploadFile	提供者會將檔案上傳至其提供者設定檔。	request_context：提供者帳戶和中繼存放區的相關信息陣列 marketplace_file_type display_name mime_type file_parent：檔案父詳細數據的陣列
marketplaceProvider	deleteFile	提供者會從其提供者設定檔中刪除檔案。	file_id request_context：提供者帳戶和中繼存放區的相關信息陣列

具有 ACL 事件的 MLflow 工件

下列 mlflowAcledArtifact 事件於工作區層級記錄。

服務	動作	描述	要求參數
mlflowAcledArtifact	readArtifact	使用者發出呼叫以讀取工件。	artifactLocation experimentId runId
mlflowAcledArtifact	writeArtifact	使用者進行呼叫以寫入工件。	artifactLocation experimentId runId

MLflow 實驗事件

下列 mlflowExperiment 事件於工作區層級記錄。

服務	動作	描述	要求參數
mlflowExperiment	createMlflowExperiment	使用者創建 MLflow 實驗。	experimentId path experimentName
mlflowExperiment	deleteMlflowExperiment	使用者刪除 MLflow 實驗。	experimentId path experimentName
mlflowExperiment	moveMlflowExperiment	使用者正在移動「MLflow」實驗。	newPath experimentId oldPath
mlflowExperiment	restoreMlflowExperiment	使用者還原 MLflow 實驗。	experimentId path experimentName
mlflowExperiment	renameMlflowExperiment	使用者會重新命名 MLflow 實驗。	oldName newName experimentId parentPath

MLflow 模型登錄事件

下列 mlflowModelRegistry 事件於工作區層級記錄。

服務	動作	描述	要求參數
modelRegistry	approveTransitionRequest	使用者會核准模型版本階段轉換要求。	name version stage archive_existing_versions
modelRegistry	changeRegisteredModelAcl	使用者會更新已註冊模型的權限。	registeredModelId userId
modelRegistry	createComment	使用者會在模型版本上張貼註解。	name version
modelRegistry	createModelVersion	使用者會建立模型版本。	name source run_id tags run_link
modelRegistry	createRegisteredModel	使用者會建立新的已註冊模型	name tags
modelRegistry	createRegistryWebhook	使用者為模型註冊事件建立一個 Webhook。	orgId registeredModelId events description status creatorId httpUrlSpec
modelRegistry	createTransitionRequest	使用者會建立模型版本階段轉換要求。	name version stage
modelRegistry	deleteComment	使用者刪除模型版本的評論。	id
modelRegistry	deleteModelVersion	使用者會刪除模型版本。	name version
modelRegistry	deleteModelVersionTag	使用者會刪除模型版本標籤。	name version key
modelRegistry	deleteRegisteredModel	使用者會刪除已註冊的模型	name
modelRegistry	deleteRegisteredModelTag	使用者會刪除已註冊模型的標記。	name key
modelRegistry	deleteRegistryWebhook	使用者會刪除模型登錄 Webhook。	orgId webhookId
modelRegistry	deleteTransitionRequest	使用者會取消模型版本階段轉換要求。	name version stage creator
modelRegistry	finishCreateModelVersionAsync	已完成非同步模型複製。	name version
modelRegistry	generateBatchInferenceNotebook	批次推論筆記本會自動產生。	userId orgId modelName inputTableOpt outputTablePathOpt stageOrVersion modelVersionEntityOpt notebookPath
modelRegistry	generateDltInferenceNotebook	DLT 管線的推論筆記本會自動生成。	userId orgId modelName inputTable outputTable stageOrVersion notebookPath
modelRegistry	getModelVersionDownloadUri	使用者會取得 URI 以下載模型版本。	name version
modelRegistry	getModelVersionSignedDownloadUri	使用者會取得 URI 以下載已簽署的模型版本。	name version path
modelRegistry	listModelArtifacts	用戶發出請求以列出模型的工件。	name version path page_token
modelRegistry	listRegistryWebhooks	用戶發出請求以列出模型中的所有註冊 Webhook。	orgId registeredModelId
modelRegistry	rejectTransitionRequest	使用者拒絕模型版本階段轉換要求。	name version stage
modelRegistry	renameRegisteredModel	使用者會重新命名已註冊的模型	name new_name
modelRegistry	setEmailSubscriptionStatus	使用者會更新已註冊模型的電子郵件訂用帳戶狀態
modelRegistry	setModelVersionTag	使用者設定模型版本標記。	name version key value
modelRegistry	setRegisteredModelTag	使用者設定模型版本標記。	name key value
modelRegistry	setUserLevelEmailSubscriptionStatus	使用者更新整個註冊系統的電子郵件通知狀態。	orgId userId subscriptionStatus
modelRegistry	testRegistryWebhook	使用者會測試模型登錄 Webhook。	orgId webhookId
modelRegistry	transitionModelVersionStage	使用者會取得模型版本所有開啟階段轉換要求的清單。	name version stage archive_existing_versions
modelRegistry	triggerRegistryWebhook	模型登錄 Webhook 由事件觸發。	orgId registeredModelId events status
modelRegistry	updateComment	使用者將對模型版本註解進行的編輯張貼。	id
modelRegistry	updateRegistryWebhook	使用者會更新模型登錄 Webhook。	orgId webhookId

模型服務事件

下列 serverlessRealTimeInference 事件於工作區層級記錄。

服務	動作	描述	要求參數
serverlessRealTimeInference	changeInferenceEndpointAcl	使用者會更新推斷端點的權限。	shardName targetUserId resourceId aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	使用者會創建模型服務端點。	name config
serverlessRealTimeInference	deleteServingEndpoint	使用者會刪除服務端點的模型。	name
serverlessRealTimeInference	disable	使用者停用已註冊模型之模型服務。	registered_mode_name
serverlessRealTimeInference	enable	使用者啟用已註冊模型的模型服務功能。	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	使用者呼叫 以取得查詢架構預覽。	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	使用者會更新服務端點的模型。	name served_models traffic_config
serverlessRealTimeInference	updateInferenceEndpointRateLimits	使用者會更新推斷端點的速率限制。 速率限制僅適用於基礎模型 API 按權杖付費和外部模型端點。	name rate_limits

筆記型電腦事件

下列 notebook 事件於工作區層級記錄。

服務	動作	描述	要求參數
notebook	attachNotebook	將筆記本連結至叢集。	path clusterId notebookId
notebook	cloneNotebook	使用者複製筆記本。	notebookId path clonedNotebookId destinationPath
notebook	createNotebook	建立筆記本。	notebookId path
notebook	deleteFolder	刪除筆記本資料夾。	path
notebook	deleteNotebook	一本筆記本被刪除。	notebookId notebookName path
notebook	detachNotebook	筆記本從叢集分離。	notebookId clusterId path
notebook	downloadLargeResults	使用者下載過大的查詢結果，無法在筆記本中顯示。	notebookId notebookFullPath
notebook	downloadPreviewResults	使用者下載查詢結果。	notebookId notebookFullPath
notebook	importNotebook	使用者會匯入筆記本。	path
notebook	moveFolder	筆記本資料夾會從一個位置移至另一個位置。	oldPath newPath folderId
notebook	moveNotebook	筆記本會從一個位置移至另一個位置。	newPath oldPath notebookId
notebook	renameNotebook	筆記本會重新命名。	newName oldName parentPath notebookId
notebook	restoreFolder	會還原已刪除的資料夾。	path
notebook	restoreNotebook	已刪除的筆記本已恢復。	path notebookId notebookName
notebook	runCommand	當啟用詳細的稽核記錄時，該功能可使用。 Databricks 在筆記本中執行命令之後發出。 指令對應至記事本中的儲存格。 executionTime 的測量單位是秒。	notebookId executionTime status commandId commandText commandLanguage
notebook	takeNotebookSnapshot	在作業服務或 mlflow 執行時，會自動擷取筆記本快照。	path

Partner Connect 活動

下列 partnerHub 事件於工作區層級記錄。

服務	動作	描述	要求參數
partnerHub	createOrReusePartnerConnection	工作區管理員會設定與合作夥伴解決方案的連線。	partner_name
partnerHub	deletePartnerConnection	工作區系統管理員會刪除合作夥伴連線。	partner_name
partnerHub	downloadPartnerConnectionFile	工作區系統管理員會下載合作夥伴連線檔案。	partner_name
partnerHub	setupResourcesForPartnerConnection	工作區管理員會設定合作夥伴連線的資源。	partner_name

預測性最佳化事件

下列 predictiveOptimization 事件於工作區層級記錄。

服務	動作	描述	要求參數
predictiveOptimization	PutMetrics	記錄在預測性優化更新數據表和工作負載度量時，以便服務能更智慧地排程優化作業。	table_metrics_list start_time end_time

遠端歷程記錄服務事件

下列 RemoteHistoryService 事件於工作區層級記錄。

服務	動作	描述	要求參數
RemoteHistoryService	addUserGitHubCredentials	使用者新增 Github 認證	none
RemoteHistoryService	deleteUserGitHubCredentials	用戶移除 Github 認證	none
RemoteHistoryService	updateUserGitHubCredentials	使用者更新 Github 認證	none

Git 資料夾中的事件

下列 repos 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
repos	checkoutBranch	使用者會在儲存庫檢出分支。	id branch
repos	commitAndPush	使用者提交並推送至存放庫。	id message files checkSensitiveToken
repos	createRepo	使用者會在工作區中建立存放庫	url provider path
repos	deleteRepo	使用者會刪除存放庫。	id
repos	discard	使用者捨棄了對存放庫的提交。	id file_paths
repos	getRepo	用戶撥打電話以取得單一存放庫的相關信息。	id
repos	listRepos	使用者發出呼叫以取得他們擁有管理許可權的所有儲存庫。	path_prefix next_page_token
repos	pull	使用者從存放庫拉取最新的提交。	id
repos	updateRepo	使用者會將存放庫更新至不同的分支或標籤，或更新至相同分支上的最新提交。	id branch tag git_url git_provider

祕密事件

下列 secrets 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
secrets	createScope	使用者會建立祕密範圍。	scope initial_manage_principal scope_backend_type
secrets	deleteAcl	使用者會刪除祕密範圍的 ACL。	scope principal
secrets	deleteScope	使用者刪除秘密範圍。	scope
secrets	deleteSecret	使用者從範圍中刪除秘密。	key scope
secrets	getAcl	使用者會獲得祕密範圍的存取控制清單。	scope principal
secrets	getSecret	使用者會從範圍取得祕密。	key scope
secrets	listAcls	用戶請求列出機密範圍的存取控制清單。	scope
secrets	listScopes	用戶呼叫 API 以列出祕密範圍	none
secrets	listSecrets	用戶進行呼叫以列出範圍內的機密。	scope
secrets	putAcl	使用者會變更祕密範圍的 ACL。	scope principal permission
secrets	putSecret	使用者在範圍內新增或編輯機密。	string_value key scope

SQL 資料表存取事件

注意

sqlPermissions 服務包含與舊版 Hive metastore 表存取控制相關的事件。 Databricks 建議您 將 Hive 中繼存放區所管理的數據表升級至 Unity 目錄中繼存放區。

下列 sqlPermissions 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
sqlPermissions	changeSecurableOwner	工作區的管理員或物件的擁有者會轉移物件的所有權。	securable principal
sqlPermissions	createSecurable	使用者建立可保護的物件。	securable
sqlPermissions	denyPermission	物件擁有者拒絕可保護物件的權限。	permission
sqlPermissions	grantPermission	物件擁有者授予可安全管理物件的權限。	permission
sqlPermissions	removeAllPermissions	使用者丟下可加以安全保護的物件。	securable
sqlPermissions	renameSecurable	使用者重新命名安全性物件。	before after
sqlPermissions	requestPermissions	使用者要求安全物件的權限。	requests
sqlPermissions	revokePermission	物件擁有者撤銷其安全物件的權限。	permission
sqlPermissions	showPermissions	用戶檢視安全物件許可權。	securable principal

SSH 事件

下列 ssh 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
ssh	login	透過 SSH 代理登入 Spark 驅動程式。	containerId userName port publicKey instanceId
ssh	logout	代理程式從 Spark 驅動程式登出 SSH。	userName containerId instanceId

向量搜尋事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 vectorSearch 事件於工作區層級記錄。

服務	動作	描述	要求參數
vectorSearch	createEndpoint	使用者會建立向量搜尋端點。	name endpoint_type
vectorSearch	deleteEndpoint	使用者會刪除向量搜尋端點。	name
vectorSearch	createVectorIndex	使用者會建立向量搜尋索引。	name endpoint_name primary_key index_type delta_sync_index_spec direct_access_index_spec
vectorSearch	deleteVectorIndex	使用者會刪除向量搜尋索引。	name endpoint_name delete_embedding_writeback_table
vectorSearch	changeEndpointAcl	用戶變更端點的訪問控制清單。	name endpoint_name access_control_list
vectorSearch	queryVectorIndex	用戶查詢向量搜尋索引。	name endpoint_name
vectorSearch	queryVectorIndexNextPage	用戶讀取向量搜尋索引查詢的編頁結果。	name endpoint_name
vectorSearch	scanVectorIndex	用戶會掃描向量搜尋索引中的所有數據。	name endpoint_name
vectorSearch	upsertDataVectorIndex	使用者會在直接存取向量搜尋索引中向上插入數據。	name endpoint_name
vectorSearch	deleteDataVectorIndex	使用者刪除直接存取向量搜尋索引中的數據。	name endpoint_name
vectorSearch	queryVectorIndexRouteOptimized	使用者會使用低延遲 API 路由來查詢向量搜尋索引。	name endpoint_name
vectorSearch	queryVectorIndexNextPageRouteOptimized	使用者會使用低延遲 API 路由來讀取向量搜尋索引查詢的編頁結果。	name endpoint_name
vectorSearch	scanVectorIndexRouteOptimized	使用者會使用低延遲 API 路由掃描向量搜尋索引中的所有數據。	name endpoint_name
vectorSearch	upsertDataVectorIndexRouteOptimized	使用者會使用低延遲 API 路由，在直接存取向量搜尋索引中向上插入數據。	name endpoint_name
vectorSearch	deleteDataVectorIndexRouteOptimized	使用者會使用低延遲 API 路由，刪除直接存取向量搜尋索引中的數據。	name endpoint_name

網路終端機事件

下列 webTerminal 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
webTerminal	startSession	使用者會啟動網路終端機工作階段。	socketGUID clusterId serverPort ProxyTargetURI
webTerminal	closeSession	使用者關閉 Web 終端機會話。	socketGUID clusterId serverPort ProxyTargetURI

工作區事件

下列 workspace 事件於工作區層級記錄。

服務	動作名稱	描述	要求參數
workspace	changeWorkspaceAcl	工作區的權限已變更。	shardName targetUserId aclPermissionSet resourceId
workspace	deleteSetting	工作區中已刪除一項設定。	settingKeyTypeName settingKeyName settingTypeName settingName
workspace	fileCreate	使用者會在工作區中建立檔案。	path
workspace	fileDelete	使用者會刪除工作區中的檔案。	path
workspace	fileEditorOpenEvent	使用者會開啟檔案編輯器。	notebookId path
workspace	getRoleAssignment	使用者獲取工作區的使用者角色。	account_id workspace_id
workspace	mintOAuthAuthorizationCode	當內部 OAuth 授權碼在工作區層級生成時記錄。	client_id
workspace	mintOAuthToken	OAuth 權杖已針對工作區發行。	grant_type scope expires_in client_id
workspace	moveWorkspaceNode	工作區管理員會移動工作區節點。	destinationPath path
workspace	purgeWorkspaceNodes	工作區管理員會清除工作區節點。	treestoreId
workspace	reattachHomeFolder	當使用者重新加入工作區時，現有的主資料夾會重新連接。	path
workspace	renameWorkspaceNode	工作區管理員會重新命名工作區節點。	path destinationPath
workspace	unmarkHomeFolder	當使用者從工作區移除時，會移除主資料夾特殊屬性。	path
workspace	updateRoleAssignment	工作區管理員會更新工作區使用者角色。	account_id workspace_id principal_id
workspace	updatePermissionAssignment	工作區管理員會將使用者新增至工作區。	principal_id permissions
workspace	setSetting	工作區管理員會設定工作區設定。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
workspace	workspaceConfEdit	工作區管理員會更新設定，例如啟用詳細稽核日誌。	workspaceConfKeys workspaceConfValues
workspace	workspaceExport	使用者會從工作區匯出筆記本。	workspaceExportDirectDownload workspaceExportFormat notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	OAuth 用戶端會在工作區服務中得到驗證。	user

帳戶存取控制事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 accountsAccessControl 事件會記錄在帳戶層級，且與 帳戶訪問控制 API （公開預覽）相關。

服務	動作名稱	描述	要求參數
accountsAccessControl	updateRuleSet	使用者會使用帳戶訪問控制 API 來更新規則集。	account_id name：規則集的名稱 rule_set authz_identity

可計費使用事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 accountBillableUsage 事件在帳戶層級記錄。

服務	動作	描述	要求參數
accountBillableUsage	getAggregatedUsage	使用者透過使用量圖表功能存取帳戶的彙總可計費使用量 (每天使用量)。	account_id window_size start_time end_time meter_name workspace_ids_filter
accountBillableUsage	getDetailedUsage	使用者透過使用量下載功能存取帳戶的詳細可計費使用量 (每個叢集的使用量)。	account_id start_month end_month with_pii

帳戶層級的事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 accounts 事件在帳戶層級記錄。

服務	動作	描述	要求參數
accounts	accountInHouseOAuthClientAuthentication	OAuth 用戶端已獲認證。	endpoint user：記錄為電子郵件位址 authenticationMethod
accounts	accountIpAclsValidationFailed	IP 權限驗證失敗。 傳回 statusCode 403。	sourceIpAddress user：記錄為電子郵件地址
accounts	activateUser	停用之後，使用者會重新啟用。 請參閱在帳戶中停用使用者。	targetUserName endpoint targetUserId
accounts	add	已將一位使用者新增至 Azure Databricks 帳戶。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	帳戶層級群組會新增一位使用者。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addPrincipalsToGroup	使用者會透過 SCIM 配置被新增到帳戶層級群組。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	createGroup	帳戶等級群組已建立。	endpoint targetGroupId targetGroupName
accounts	deactivateUser	已停用使用者。 請參閱帳戶中的使用者停用操作。	targetUserName endpoint targetUserId
accounts	delete	使用者會從 Azure Databricks 帳戶刪除。	targetUserId targetUserName endpoint
accounts	deleteSetting	帳戶管理員可以從 Azure Databricks 帳戶中移除設定。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	garbageCollectDbToken	使用者會對過期的權杖執行垃圾回收命令。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	使用者可以從使用者設定中生成權杖，或者當服務生成權杖時讓系統生成。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	login	使用者會登入帳戶主控台。	user authenticationMethod
accounts	logout	使用者登出帳戶主控台。	user
accounts	oidcBrowserLogin	使用者會使用 OpenID Connect 瀏覽器工作流程登入其帳戶。	user
accounts	oidcTokenAuthorization	OIDC 權杖已驗證用於帳戶管理員登入。	user authenticationMethod
accounts	removeAccountAdmin	帳戶管理員會從其他使用者移除帳戶管理員權限。	targetUserName endpoint targetUserId
accounts	removeGroup	群組已從帳戶中移除。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	使用者從帳戶層級群組中移除。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	removePrincipalsFromGroup	使用 SCIM 配置將使用者從帳戶層級群組中移除。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	setAccountAdmin	帳戶管理員可以給另一個使用者指派系統管理員角色。	targetUserName endpoint targetUserId
accounts	setSetting	帳戶管理員會更新帳戶層級設定。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	tokenLogin	使用者使用權杖登入 Databricks。	tokenId user authenticationMethod
accounts	updateUser	帳戶管理員會更新使用者帳戶。	targetUserName endpoint targetUserId
accounts	updateGroup	帳戶管理員會更新帳戶級別的群組。	endpoint targetGroupId targetGroupName
accounts	validateEmail	當使用者在帳戶建立後驗證其電子郵件時。	endpoint targetUserName targetUserId

帳戶管理事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列 accountsManager 事件在帳戶層級中記錄。 這些事件必須與帳戶主控台中的帳戶管理員所做的設定相關聯。

服務	動作	描述	要求參數
accountsManager	createNetworkConnectivityConfig	帳戶管理員已建立網路連線設定。	network_connectivity_config account_id
accountsManager	getNetworkConnectivityConfig	帳戶管理員會要求有關網路連線設定的詳細資料。	account_id network_connectivity_config_id
accountsManager	listNetworkConnectivityConfigs	帳戶管理員會列出帳戶中的所有網路連線設定。	account_id
accountsManager	deleteNetworkConnectivityConfig	帳戶管理員已刪除網路連線設定。	account_id network_connectivity_config_id
accountsManager	createNetworkConnectivityConfigPrivateEndpointRule	帳戶管理員已建立私人端點規則。	account_id network_connectivity_config_id azure_private_endpoint_rule
accountsManager	getNetworkConnectivityConfigPrivateEndpointRule	帳戶管理員會要求私人端點規則的詳細資料。	account_id network_connectivity_config_id rule_id
accountsManager	listNetworkConnectivityConfigPrivateEndpointRules	帳戶管理員會列出網路連線設定下的所有私人端點規則。	account_id network_connectivity_config_id page_token
accountsManager	deleteNetworkConnectivityConfigPrivateEndpointRule	帳戶管理員已刪除私人端點規則。	account_id network_connectivity_config_id rule_id
accountsManager	updateNetworkConnectivityConfigPrivateEndpointRule	帳戶管理員已更新私人端點規則。	account_id network_connectivity_config_id rule_id azure_private_endpoint_rule

無伺服器預算原則事件

下列 budgetPolicyCentral 事件會記錄在帳戶層級，且與無伺服器預算原則相關。 請參閱 屬性使用量與無伺服器預算原則。

服務	動作	描述	要求參數
budgetPolicyCentral	createBudgetPolicy	工作區管理員或計費管理員會建立無伺服器預算原則。 新的 policy_id 會記錄在 response 欄中。	policy_name
budgetPolicyCentral	updateBudgetPolicy	工作區管理員、計費管理員或原則管理員會更新無伺服器預算原則。	policy.policy_id policy.policy_name
budgetPolicyCentral	updateBudgetPolicy	工作區管理員、計費管理員或原則管理員會刪除無伺服器預算原則。	policy_id

無塵室活動

接下來列出的 clean-room 事件會在帳戶層級被記錄。

服務	動作	描述	要求參數
clean-room	createCleanRoom	在你的 Databricks 帳戶中，使用者會使用 UI 或 API 建立新的數據安全室。	clean_room_name cloud_vendor collaborators metastore_id region workspace_id
clean-room	createCleanRoomOutputCatalog	Databricks 帳戶中的使用者會使用 UI 或 API，在乾淨的會議室中建立輸出數據表。	clean_room_name output_catalog_name metastore_id workspace_id
clean-room	deleteCleanRoom	Databricks 帳戶中的使用者會使用 UI 或 API 刪除乾淨室。	clean_room_name metastore_id workspace_id
clean-room	getCleanRoom	您的帳戶中的使用者可透過UI或API獲得無塵室的詳細資訊。	clean_room_name metastore_id workspace_id
clean-room	getCleanRoomAsset	在您的帳戶中，有使用者使用UI查看潔淨室數據資產的詳細資訊。	asset_full_name metastore_id workspace_id asset_type clean_room_name collaborator_global_metastore_id
clean-room	listCleanRooms	使用者可以使用工作區 UI 獲得所有無塵室的清單，或使用 API 在中繼存放區裡獲得所有無塵室的清單。	metastore_id workspace_id
clean-room	updateCleanRoom	您的帳戶中的使用者會更新無塵室的詳細資料或資產。	added_assets clean_room_name owner metastore_id workspace_id updated_assets removed_assets

Unity Catalog 事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

下列診斷事件與 Unity 目錄相關。 Delta Sharing 事件也會記錄在 unityCatalog 服務底下。 對於 Delta Sharing 事件，請參閱 Delta Sharing 事件。 Unity 目錄稽核事件可以記錄在工作區層級或帳戶層級，視事件而定。

服務	動作	描述	要求參數
unityCatalog	createMetastore	帳戶管理員會建立中繼存放區。	name storage_root workspace_id metastore_id
unityCatalog	getMetastore	帳戶管理員會要求中繼存放區識別碼。	id workspace_id metastore_id
unityCatalog	getMetastoreSummary	帳戶管理員會要求中繼存放區的詳細資料。	workspace_id metastore_id
unityCatalog	listMetastores	帳戶管理員要求帳戶中所有中繼存放區的清單。	workspace_id
unityCatalog	updateMetastore	帳戶管理員對中繼存放區執行更新。	id owner workspace_id metastore_id
unityCatalog	deleteMetastore	帳戶管理員會刪除中繼存放區。	id force workspace_id metastore_id
unityCatalog	updateMetastoreAssignment	帳戶管理員對資料存儲庫的工作區指派進行更新。	workspace_id metastore_id default_catalog_name
unityCatalog	createExternalLocation	帳戶管理員會建立外部位置。	name skip_validation url credential_name workspace_id metastore_id
unityCatalog	getExternalLocation	帳戶管理員會要求外部位置的詳細資料。	name_arg include_browse workspace_id metastore_id
unityCatalog	listExternalLocations	帳戶管理員要求取得帳戶中所有外部位置的清單。	url max_results workspace_id metastore_id
unityCatalog	updateExternalLocation	帳戶管理員對外部位置進行更新。	name_arg owner workspace_id metastore_id
unityCatalog	deleteExternalLocation	帳戶管理員會刪除外部位置。	name_arg force workspace_id metastore_id
unityCatalog	createCatalog	使用者建立目錄。	name comment workspace_id metastore_id
unityCatalog	deleteCatalog	使用者刪除目錄。	name_arg workspace_id metastore_id
unityCatalog	getCatalog	使用者要求目錄的詳細資訊。	name_arg dependent workspace_id metastore_id
unityCatalog	updateCatalog	使用者更新目錄。	name_arg isolation_mode comment workspace_id metastore_id
unityCatalog	listCatalog	用戶發出指令列出中繼存放區中的所有目錄。	name_arg workspace_id metastore_id
unityCatalog	createSchema	使用者建立架構。	name catalog_name comment workspace_id metastore_id
unityCatalog	deleteSchema	使用者刪除架構。	full_name_arg force workspace_id metastore_id
unityCatalog	getSchema	使用者要求架構的詳細數據。	full_name_arg dependent workspace_id metastore_id
unityCatalog	listSchema	使用者要求目錄中所有架構的清單。	catalog_name
unityCatalog	updateSchema	使用者更新架構。	full_name_arg name workspace_id metastore_id comment
unityCatalog	createStagingTable		name catalog_name schema_name workspace_id metastore_id
unityCatalog	createTable	使用者建立數據表。 要求參數會根據建立的數據表類型而有所不同。	name data_source_format catalog_name schema_name storage_location columns dry_run table_type view_dependencies view_definition sql_path comment
unityCatalog	deleteTable	使用者刪除數據表。	full_name_arg workspace_id metastore_id
unityCatalog	getTable	使用者要求數據表的詳細數據。	include_delta_metadata full_name_arg dependent workspace_id metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	用戶發出請求以列出結構中的所有資料表。	catalog_name schema_name workspace_id metastore_id include_browse
unityCatalog	listTableSummaries	使用者取得中繼存放區內架構和目錄之數據表的摘要陣列。	catalog_name schema_name_pattern workspace_id metastore_id
unityCatalog	updateTables	用戶對數據表進行更新。 顯示的要求參數會因數據表更新的類型而有所不同。	full_name_arg table_type table_constraint_list data_source_format columns dependent row_filter storage_location sql_path view_definition view_dependencies owner comment workspace_id metastore_id
unityCatalog	createStorageCredential	帳戶管理員會建立儲存體認證。 您可能會根據您的雲端提供者憑證看到額外的請求參數。	name comment workspace_id metastore_id
unityCatalog	listStorageCredentials	帳戶管理員發出請求以列出帳戶中的所有儲存憑證。	workspace_id metastore_id
unityCatalog	getStorageCredential	帳戶管理員會要求儲存體認證的詳細資料。	name_arg workspace_id metastore_id
unityCatalog	updateStorageCredential	帳戶管理員會更新記憶體認證。	name_arg owner workspace_id metastore_id
unityCatalog	deleteStorageCredential	帳戶管理員會刪除儲存體認證。	name_arg workspace_id metastore_id
unityCatalog	generateTemporaryTableCredential	每當為數據表授予暫時憑證時，系統會記錄。 您可使用此事件來判斷誰查詢了什麼以及何時查詢。	credential_id credential_type credential_kind is_permissions_enforcing_client table_full_name operation table_id workspace_id table_url metastore_id
unityCatalog	generateTemporaryPathCredential	當為某個路徑授予臨時憑證時，將進行記錄。	url operation make_path_only_parent credential_kind fallback_enabled workspace_id metastore_id
unityCatalog	checkPathAccess	每當針對特定路徑進行使用者權限檢查時，就會記錄。	path fallback_enabled
unityCatalog	getPermissions	使用者發出請求以取得可安全管理對象的權限詳細資訊。 此呼叫不會傳回繼承的權限，只會明確指派權限。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getEffectivePermissions	使用者請求取得可保護對象的所有權限詳情。 有效的權限呼叫會傳回明確指派和繼承的權限。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	updatePermissions	使用者會更新可設安全性的物件的權限。	securable_type changes securable_full_name workspace_id metastore_id
unityCatalog	metadataSnapshot	使用者會從先前的數據表版本查詢元數據。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	metadataAndPermissionsSnapshot	用戶會查詢先前數據表版本的元數據和許可權。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	updateMetadataSnapshot	使用者會從上一個數據表版本更新元數據。	table_list_snapshots schema_list_snapshots workspace_id metastore_id
unityCatalog	getForeignCredentials	用戶撥打電話以取得外鍵的詳細數據。	securables workspace_id metastore_id
unityCatalog	getInformationSchema	用戶呼叫 以取得架構的詳細數據。	table_name page_token required_column_names row_set_type required_column_names workspace_id metastore_id
unityCatalog	createConstraint	使用者會為資料表建立限制。	full_name_arg constraint workspace_id metastore_id
unityCatalog	deleteConstraint	使用者刪除資料表的條件約束。	full_name_arg constraint workspace_id metastore_id
unityCatalog	createPipeline	使用者建立 Unity Catalog 資料流管線。	target_catalog_name has_workspace_definition id workspace_id metastore_id
unityCatalog	updatePipeline	使用者更新了 Unity Catalog 資料管線。	id_arg definition_json id workspace_id metastore_id
unityCatalog	getPipeline	使用者要求獲得 Unity 目錄管線的詳細資訊。	id workspace_id metastore_id
unityCatalog	deletePipeline	使用者刪除 Unity Catalog 資料管線。	id workspace_id metastore_id
unityCatalog	deleteResourceFailure	資源刪除失敗	無
unityCatalog	createVolume	使用者建立 Unity Catalog 磁碟區。	name catalog_name schema_name volume_type storage_location owner comment workspace_id metastore_id
unityCatalog	getVolume	用戶發出請求以取得 Unity Catalog 磁碟區的相關資訊。	volume_full_name workspace_id metastore_id
unityCatalog	updateVolume	使用者會使用 ALTER VOLUME 或 COMMENT ON 呼叫來更新 Unity 目錄磁碟區的元數據。	volume_full_name name owner comment workspace_id metastore_id
unityCatalog	deleteVolume	使用者刪除 Unity Catalog 磁碟區。	volume_full_name workspace_id metastore_id
unityCatalog	listVolumes	用戶發出請求以取得架構中所有 Unity Catalog 磁碟區的列表。	catalog_name schema_name workspace_id metastore_id
unityCatalog	generateTemporaryVolumeCredential	當使用者在磁碟區執行讀取或寫入時，會產生暫時認證。 您可使用此事件來判斷有誰存取磁碟區及何時存取。	volume_id volume_full_name operation volume_storage_location credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	getTagSecurableAssignments	獲取可安全處理的項目的標籤指派	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getTagSubentityAssignments	擷取子實體的標籤指派	securable_type securable_full_name workspace_id metastore_id subentity_name
unityCatalog	UpdateTagSecurableAssignments	更新可保護物件的標籤分配	securable_type securable_full_name workspace_id metastore_id changes
unityCatalog	UpdateTagSubentityAssignments	更新子實體的標籤指派	securable_type securable_full_name workspace_id metastore_id subentity_name changes
unityCatalog	createRegisteredModel	使用者建立 Unity Catalog 的已註冊模型。	name catalog_name schema_name owner comment workspace_id metastore_id
unityCatalog	getRegisteredModel	用戶提出請求以取得有關 Unity Catalog 註冊模型的資訊。	full_name_arg workspace_id metastore_id
unityCatalog	updateRegisteredModel	使用者更新 Unity 目錄註冊模型的元數據。	full_name_arg name owner comment workspace_id metastore_id
unityCatalog	deleteRegisteredModel	用戶刪除 Unity 目錄已註冊的模型。	full_name_arg workspace_id metastore_id
unityCatalog	listRegisteredModels	使用者進行呼叫以取得在架構中已註冊的 Unity Catalog 模型清單，或列出跨不同目錄和架構的模型。	catalog_name schema_name max_results page_token workspace_id metastore_id
unityCatalog	createModelVersion	使用者會在 Unity 目錄中建立模型版本。	catalog_name schema_name model_name source comment workspace_id metastore_id
unityCatalog	finalizeModelVersion	使用者在將模型版本檔案上傳到其儲存位置後，呼叫“Finalize”以完成 Unity Catalog 模型版本，這會使其成為唯讀模式，並可用於推論工作流程。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersion	用戶撥打電話以取得模型版本的詳細數據。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersionByAlias	用戶發起請求以使用別名來獲取模型版本的詳細信息。	full_name_arg include_aliases alias_arg workspace_id metastore_id
unityCatalog	updateModelVersion	使用者更新模型版本的中繼資料。	full_name_arg version_arg name owner comment workspace_id metastore_id
unityCatalog	deleteModelVersion	使用者會刪除模型版本。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	listModelVersions	用戶發送請求以獲取已註冊模型中的 Unity Catalog 模型版本清單。	catalog_name schema_name model_name max_results page_token workspace_id metastore_id
unityCatalog	generateTemporaryModelVersionCredential	當使用者在模型版本上執行寫入時 (在初始模型版本建立期間) 或讀取 (在模型版本完成之後) 時，會產生暫時認證。 您可使用此事件來判斷有誰存取模型版本及存取時間。	full_name_arg version_arg operation model_version_url credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	setRegisteredModelAlias	使用者會在 Unity 目錄註冊的模型上設定別名。	full_name_arg alias_arg version
unityCatalog	deleteRegisteredModelAlias	使用者刪除 Unity Catalog 已註冊模型的別名。	full_name_arg alias_arg
unityCatalog	getModelVersionByAlias	使用者透過別名取得 Unity Catalog 模型的版本。	full_name_arg alias_arg
unityCatalog	createConnection	系統會建立新的外部連線。	name connection_type workspace_id metastore_id
unityCatalog	deleteConnection	刪除外部連線。	name_arg workspace_id metastore_id
unityCatalog	getConnection	取得外部連線。	name_arg workspace_id metastore_id
unityCatalog	updateConnection	更新異地連線。	name_arg owner workspace_id metastore_id
unityCatalog	listConnections	Metastore 內的外來連線列出。	workspace_id metastore_id
unityCatalog	createFunction	使用者會建立新的函式。	function_info workspace_id metastore_id
unityCatalog	updateFunction	使用者更新函式。	full_name_arg owner workspace_id metastore_id
unityCatalog	listFunctions	使用者請求列出特定父類別或架構內的所有功能清單。	catalog_name schema_name include_browse workspace_id metastore_id
unityCatalog	getFunction	使用者向父目錄或架構要求函數。	full_name_arg workspace_id metastore_id
unityCatalog	deleteFunction	使用者向父目錄或架構要求函數。	full_name_arg workspace_id metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	generateTemporaryServiceCredential	系統會產生暫時認證，以從 Databricks 存取雲端服務帳戶。	credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	UpdateWorkspaceBindings	中繼存放區管理員或對象擁有者會更新目錄、外部位置或存儲憑證的工作區綁定。	securable_type securable_full_name add：只有在指派綁定時才會記錄。 包含工作區識別碼和系結類型的清單。 remove：只有在系結未指派時才會記錄。 包含受影響工作區的工作區標識碼。 workspace_id metastore_id

Delta Sharing 事件

注意

此服務無法透過 Azure 診斷設定使用。 啟用 稽核記錄系統數據表 存取這些事件。

Delta Sharing 事件分成兩個部分：在資料提供者帳戶中記錄的事件，以及在資料接收者帳戶中記錄的事件。

Delta Sharing 提供者事件

下列稽核記錄事件會在提供者的帳戶中記錄。 收件者所執行的動作會以 deltaSharing 前置詞開頭。 這些記錄也都包含 request_params.metastore_id，這是管理共用資料的中繼存放區，以及 userIdentity.email，這是起始活動之使用者的識別碼。

服務	動作	描述	要求參數
unityCatalog	deltaSharingListShares	數據收件者要求公司股份清單。	options：此要求所提供的分頁選項。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingGetShare	數據接收者要求關於一個股份的詳細資料。	share：共用的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListSchemas	數據收件者要求共享架構清單。	share：共享項的名稱。 recipient_name：指出執行動作的收件者。 options：此要求所提供的分頁選項。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListAllTables	數據收件者會要求所有共享數據表的清單。	share：分享的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListTables	數據收件者要求共用數據表的清單。	share：分享的名稱。 recipient_name：指出執行動作的收件者。 options：此要求所提供的分頁選項。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingGetTableMetadata	資料接收者要求查詢資料表中元數據的詳細資訊。	share：共享資源的名稱。 recipient_name：指出執行動作的收件者。 schema：架構的名稱。 name：數據表的名稱。 predicateHints：查詢中包含的述詞。 limitHints：要返回的列數上限。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingGetTableVersion	數據接收者請求表格版本的詳細資訊。	share：共用的名稱。 recipient_name：指出執行動作的收件者。 schema：架構的名稱。 name：數據表的名稱。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingQueryTable	當數據收件者查詢共享數據表時記錄。	share：共用項目的名稱。 recipient_name：指出執行動作的收件者。 schema：架構的名稱。 name：數據表的名稱。 predicateHints：查詢中包含的述詞。 limitHints：要返回的列數上限。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingQueryTableChanges	當數據收件者查詢變更數據表的數據時記錄。	share：共享的名稱。 recipient_name：指出執行動作的收件者。 schema：架構的名稱。 name：數據表的名稱。 cdf_options：變更資料饋送選項。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingQueriedTable	當資料接收者收到查詢回應後進行記錄。 response.result 欄位包含收件者查詢的詳細資訊 (請參閱稽核和監視資料共用)	recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingQueriedTableChanges	當資料接收者收到查詢回應後進行記錄。 response.result 欄位包含收件者查詢的詳細資訊 (請參閱稽核和監視資料共用)。	recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListNotebookFiles	數據收件者要求共用筆記本檔案的清單。	share：共用的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingQueryNotebookFile	資料收件者會查詢共用筆記本檔案。	file_name：筆記本檔案的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListFunctions	數據接收者要求取得父架構中的函式列表。	share：分享名稱。 schema：函式的父架構名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListAllFunctions	數據收件者會要求所有共用函式的清單。	share：共用名稱。 schema：函式的父架構名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListFunctionVersions	資料接收者要求函數版本清單。	share：分享的名稱。 schema：函式的父架構名稱。 function：函式的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListVolumes	數據收件者要求架構中的共用磁碟區清單。	share：共用的名稱。 schema：磁碟區的父架構。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	deltaSharingListAllVolumes	數據收件者會要求所有共用磁碟區。	share：共享的名稱。 recipient_name：指出執行動作的收件者。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	updateMetastore	供應商更新了其中繼存放區。	delta_sharing_scope：值可以是 INTERNAL 或 INTERNAL_AND_EXTERNAL。 delta_sharing_recipient_token_lifetime_in_seconds：如果有，表示收件者令牌存留期已更新。
unityCatalog	createRecipient	提供者會建立資料收件者。	name：收件者的名稱。 comment：收件者的批注。 ip_access_list.allowed_ip_addresses: 收件者 IP 位址允許清單。
unityCatalog	deleteRecipient	提供者會刪除資料收件者。	name：收件者的名稱。
unityCatalog	getRecipient	提供者會要求資料收件者的詳細資料。	name：收件者的名稱。
unityCatalog	listRecipients	提供者會要求其所有數據收件者的清單。	None (no translation needed)
unityCatalog	rotateRecipientToken	提供者會輪替收件者的令牌。	name：收件者的名稱。 comment：旋轉命令中提供的註解。
unityCatalog	updateRecipient	提供者會更新資料收件者的屬性。	name：收件者的名稱。 updates：共用中新增或移除的收件者屬性的 JSON 表示法。
unityCatalog	createShare	提供者會更新資料收件者的屬性。	name：共享的名稱。 comment：分享的批注。
unityCatalog	deleteShare	提供者會更新資料收件者的屬性。	name：分享名稱。
unityCatalog	getShare	提供者會要求分享的詳細資料。	name：共享名稱。 include_shared_objects：共享的表名稱是否包含在請求中。
unityCatalog	updateShare	提供者會從共享中新增或移除資料資產。	name：分享的名稱。 updates：共用中新增或移除數據資產的 JSON 表示法。 每個項目都包含 action（新增或移除）、name（資料表的實際名稱）、shared_as（資產被分享時的名稱，如果與實際名稱不同），以及 partition_specification（如果提供了分區規範）。
unityCatalog	listShares	提供者要求其持股的清單。	none
unityCatalog	getSharePermissions	提供者會要求共用權限的詳細資料。	name：分享的名稱。
unityCatalog	updateSharePermissions	提供者會更新共用的權限。	name：分享名稱。 changes：更新許可權的 JSON 表示法。 每個變更都包含 principal（已授與或撤銷許可權的使用者或群組）、add（已授與的許可權清單），以及 remove（已撤銷的許可權清單）。
unityCatalog	getRecipientSharePermissions	提供者會要求收件者共用權限的詳細資料。	name：共用的名稱。
unityCatalog	getActivationUrlInfo	提供者要求提供有關其啟用連結上活動的詳細資料。	recipient_name：開啟啟用 URL 的收件者名稱。 is_ip_access_denied：如果沒有設定IP存取清單，則無。 否則，如果要求遭到拒絕，則為 true；如果要求未被拒絕，則為 false。 sourceIPaddress 是收件者 IP 位址。
unityCatalog	generateTemporaryVolumeCredential	系統會為收件者產生暫時認證，以便存取共用磁碟區。	share_name：收件者要求共享的名稱。 share_id：共用的標識碼。 share_owner：股份的擁有者。 recipient_name：要求認證的收件者名稱。 recipient_id：收件者的識別碼。 volume_full_name：卷冊的完整三層級名稱。 volume_id：磁碟區的識別號。 volume_storage_location：磁碟區根目錄的雲端路徑。 operation：READ_VOLUME 或 WRITE_VOLUME 任一項。 針對音量共用，僅支援 READ_VOLUME。 credential_id：憑證的識別碼。 credential_type：認證的類型。 值為 StorageCredential 或 ServiceCredential。 credential_kind：用來授權存取的方法。 workspace_id：當請求是共用磁碟區時，值總是 0。
unityCatalog	generateTemporaryTableCredential	系統會為收件者產生暫時認證，以存取共享數據表。	share_name：收件者通過該共享請求的名稱。 share_id：共用的標識碼。 share_owner：股份的擁有者。 recipient_name：要求認證的收件者名稱。 recipient_id：收件者的識別碼。 table_full_name：數據表的完整 3 層名稱。 table_id：資料表的標識碼。 table_url：數據表根目錄的雲端路徑。 operation：READ 或 READ_WRITE 任一項。 credential_id：憑證的識別碼。 credential_type：認證的類型。 值為 StorageCredential 或 ServiceCredential。 credential_kind：用來授權存取的方法。 workspace_id：當要求是共用數據表時，值一律會是 0。

Delta Sharing 收件者事件

下列事件會記錄在資料收件者的帳戶中。 這些事件會記錄共享數據和 AI 資產的收件者存取權，以及與提供者管理相關聯的事件。 每一個事件也都包含下列要求參數：

• recipient_name：資料提供者系統中收件者的名稱。
• metastore_id：資料提供者系統中中繼存放區的名稱。
• sourceIPAddress：要求來源的IP位址。

服務	動作	描述	要求參數
unityCatalog	deltaSharingProxyGetTableVersion	數據接收者要求共用表格版本的詳細資料。	share：分享的名稱。 schema：數據表父架構的名稱。 name：數據表的名稱。
unityCatalog	deltaSharingProxyGetTableMetadata	資料接收方要求提供共享資料表元數據的詳細資料。	share：共用的名稱。 schema：數據表父架構的名稱。 name：數據表的名稱。
unityCatalog	deltaSharingProxyQueryTable	數據收件者會查詢共享數據表。	share：共用資源的名稱。 schema：數據表父架構的名稱。 name：數據表的名稱。 limitHints：要返回的列數上限。 predicateHints：查詢中包含的述詞。 version：如果已啟用變更數據摘要，則為數據表版本。
unityCatalog	deltaSharingProxyQueryTableChanges	資料接收者查詢資料表的變更資料。	share：共享資源的名稱。 schema：數據表父架構的名稱。 name：數據表的名稱。 cdf_options：變更資料饋送選項。
unityCatalog	createProvider	資料收件者會建立提供者物件。	name：提供者的名稱。 comment：供應者的批注。
unityCatalog	updateProvider	資料收件者會更新提供者物件。	name：提供者的名稱。 updates：已從共用新增或移除之提供者屬性的 JSON 表示法。 每個項目都包含 action（新增或移除），並且可以包含 name（新的提供者名稱）、owner（新擁有者），以及 comment。
unityCatalog	deleteProvider	資料收件者會刪除提供者物件。	name：提供者的名稱。
unityCatalog	getProvider	資料收件者會要求提供者物件的詳細資料。	name：提供者的名稱。
unityCatalog	listProviders	數據收件者要求提供者清單。	無
unityCatalog	activateProvider	資料收件者會啟動提供者物件。	name：提供者的名稱。
unityCatalog	listProviderShares	數據接收者要求提供者的共享列表。	name：提供者的名稱。

其他安全性監視事件

針對傳統計算平面中的 Azure Databricks 計算資源，例如叢集和專業或傳統 SQL 倉儲的 VM，下列功能可啟用其他監視代理程式：

• 增強的安全性監視
• 合規性安全性設定檔。

檔案完整性監視事件

下列 capsule8-alerts-dataplane 事件於工作區層級記錄。

服務	動作	描述	要求參數
capsule8-alerts-dataplane	Heartbeat	確認監視器處於開啟狀態的一般事件。 目前每 10 分鐘執行一次。	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	記憶體通常會標示為可執行檔，以便允許惡意程式碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體權限設定為可執行檔時會發出警示。 這可能會造成特定應用程式伺服器的誤判。	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	監視重要系統檔案的完整性。 針對這些檔案的任何未經授權的變更發出警告。 Databricks 會定義映像上的特定系統路徑集，而且此組路徑可能會隨著時間而變更。	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	systemd 單元的變更可能會導致安全性控制被放寬或停用，或安裝惡意服務。 每當 systemd 以外的程式修改 systemctl 單元檔案時會發出警示。	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	重複的程式當機可能表示攻擊者正嘗試惡意探索記憶體損毀漏洞，或受影響的應用程式存在穩定性問題。 當個別程式有超過 5 個執行個體因分割錯誤而當機時會發出警示。	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	由於容器通常是靜態工作負載，此警示可能表示攻擊者已入侵容器，並嘗試安裝並執行後門程式。 在 30 分鐘內建立或修改的檔案在容器內執行時會發出警示。	instanceId
capsule8-alerts-dataplane	New File Executed in Container	記憶體通常會標示為可執行檔，以便允許惡意程式碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體權限設定為可執行檔時會發出警示。 這可能會造成特定應用程式伺服器的誤判。	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	在現代化生產基礎結構中，互動式殼層很少出現。 當互動式殼層以常用於反向殼層的引數啟動時會發出警示。	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	逃避命令記錄是攻擊者的常見做法，但也可能表示合法使用者正在執行未經授權的動作，或嘗試逃避原則。 偵測到使用者命令記錄變更，指出使用者嘗試逃避命令記錄時會發出警示。	instanceId
capsule8-alerts-dataplane	BPF Program Executed	偵測某些類型的核心程序後門程式。 載入新的 Berkeley Packet Filter (BPF) 程式可能表示攻擊者正在載入以 BPF 為基礎的 rootkit，以取得持續性並避免偵測。 當程序載入新的特殊權限 BPF 程式時會發出警示，如果程序已經屬於進行中事件的一部分。	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	攻擊者通常會載入惡意核心程序模組 (rootkits)，以逃避偵測並維護遭入侵節點上的持續性。 載入核心程序模組時，如果程式已經屬於進行中事件的一部分，就會發出警示。	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	攻擊者可能會建立或重新命名惡意二進位檔，以在名稱結尾包含空格，模擬合法的系統程式或服務。 當執行的程式名稱後有空格時會發出警示。	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	核心程序權限提升惡意探索通常會讓不具特殊權限的使用者獲得根權限，而不需要透過標準網關進行權限變更。 當程式嘗試透過不尋常的方式提高權限時會發出警示。 這可能會在具有大量工作負載的節點上發出誤報的警示。	instanceId
capsule8-alerts-dataplane	Kernel Exploit	一般程式無法存取內部核心函式，如果被呼叫，則是一個強烈的指標，表示已執行核心程序惡意探索，且攻擊者已完全控制節點。 當核心函式意外傳回使用者空間時會發出警示。	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP 和 SMAP 是處理器層級保護，可增加對核心程序成功進行惡意探索的難度，而停用這些限制是核心程序惡意探索的常見早期步驟。 當程式竄改核心程序 SMEP/SMAP 設定時會發出警示。	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	當程式使用容器逸出惡意探索中常用的核心函式時會發出警示，指出攻擊者正在將權限從容器存取提升至節點存取。	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	特殊權限容器可直接存取主機資源，因而在遭入侵時會產生更大的影響。 啟動特權容器時會發出警示，如果該容器不是已知的特權映像，例如 kube-proxy。 這可能會對合法具有權限的容器發出不必要的警示。	instanceId
capsule8-alerts-dataplane	Userland Container Escape	許多容器逸出會強制主機執行容器內二進位檔，造成攻擊者完全控制受影響的節點。 從容器外部執行容器建立的檔案時會發出警示。	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	某些 AppArmor 屬性的修改只能在內核中發生，這表示因內核漏洞或 rootkit，AppArmor 已被停用。 當 AppArmor 狀態與感應器啟動時偵測到的 AppArmor 組態不同時，會發出警示。	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	攻擊者可能會嘗試停用 AppArmor 設定檔的強制執行，以逃避偵測。 當執行修改 AppArmor 配置檔的命令時，如果不是在 SSH 工作階段中由使用者執行，則會發出警報。	instanceId
capsule8-alerts-dataplane	Boot Files Modified	如果未由信任的來源執行 (例如套件管理員或組態管理工具)，則修改開機檔案可能表示攻擊者修改核心程序或其選項，以取得主機的持續存取權。 在 /boot 中對檔案進行變更時會發出警示，指出安裝新的核心程序或開機組態。	instanceId
capsule8-alerts-dataplane	Log Files Deleted	記錄管理工具未執行的記錄刪除可能表示攻擊者正嘗試移除入侵指標。 刪除系統記錄檔的警示。	instanceId
capsule8-alerts-dataplane	New File Executed	來自系統更新程式以外的來源新建立的檔案，可能是後門、核心漏洞利用，或漏洞利用鏈的一部分。 當檔案在 30 分鐘內被建立或修改後被執行時發出警示，但不包括由系統更新程式所創建的檔案。	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	修改根憑證存放區可能表示已安裝惡意憑證授權單位，從而啟用網路流量攔截或繞過程式碼簽章驗證。 變更系統 CA 憑證存放區時會發出警示。	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	設定 setuid/setgid 位元可用來為節點上的權限提升提供持續性方法。 當檔案上的 setuid 或 setgid 位元被設定，且屬於 chmod 系統呼叫家族時發出警示。	instanceId
capsule8-alerts-dataplane	Hidden File Created	攻擊者通常會在遭入侵的主機上建立隱藏的檔案，作為遮蔽工具和酬載的方法。 當隱藏的檔案是由與進行中事件相關聯的程序所建立時會發出警示。	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	攻擊者可能會修改系統公用程式，以便在執行這些公用程式時執行惡意酬載。 當未經授權的程序修改通用系統公用程序時會發出警示。	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	攻擊者或惡意使用者可能會使用或安裝這些程式來調查連線的網路，尋找其他要入侵的節點。 執行常見的網路掃描程式工具時會發出警示。	instanceId
capsule8-alerts-dataplane	Network Service Created	攻擊者可能會啟動新的網路服務，以便在入侵後輕鬆存取主機。 當程式啟動新的網路服務時，如果程式已經是進行中事件的一部分，就會發出警示。	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	攻擊者或流氓使用者可能會執行網路探查命令來擷取認證、個人標識資訊（PII）或其他敏感性資訊。 執行允許網路擷取的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	使用檔案傳輸工具可能表示攻擊者正嘗試將工具組移至其他主機，或將資料外洩至遠端系統。 如果程式已經屬於進行中事件的一部分，當執行與遠端檔案複製相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	命令和控制通道以及加密貨幣挖礦程式通常會在不尋常的埠上建立新的輸出網路連線。 如果程式已經屬於進行中事件的一部分，當程式在不常見的連接埠上起始新連線時會發出警示。	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	取得系統的存取權之後，攻擊者可能會建立壓縮的檔案封存，以縮小資料，方便外洩。 如果程式已經屬於進行中事件的一部分，當執行資料壓縮程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Process Injection	使用程序插入技術通常表示使用者正在對程式進行偵錯，但也可能表示攻擊者正在讀取祕密，或將程式碼插入其他程序。 當程式使用 ptrace (偵錯) 機制來與另一個程序互動時會發出警示。	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	攻擊者通常會使用帳戶列舉程式來判斷其存取層級，並查看其他使用者目前是否登入節點。 如果程式已經屬於進行中事件的一部分，當執行與帳戶列舉相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	探索文件系統是攻擊者尋找相關認證和數據時常見的惡意探索後行為。 如果程式已經屬於進行中事件的一部分，當執行與檔案和目錄列舉相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	攻擊者可以詢問本機網路和路由資訊，以在橫向移動之前識別鄰近的主機和網路。 如果程式已經屬於進行中事件的一部分，當執行與網路設定列舉相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	攻擊者通常會列出執行中的程式，以識別節點的目的，以及是否有任何安全性或監視工具都已就緒。 如果程式已經屬於進行中事件的一部分，當執行與程序列舉相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	攻擊者通常會執行系統列舉命令來判斷 Linux 核心程序和履行版本與功能，通常用來識別節點是否受到特定漏洞的影響。 如果程式已經屬於進行中事件的一部分，當執行與系統資訊列舉相關聯的程式時會發出警示。	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	修改排程任務是在已受入侵的節點上建立持續性的一種常見方法。 當使用 crontab、at 或 batch 命令修改排程的工作組態時會發出警示。	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	systemd 單元的變更可能會導致安全性控制被放寬或停用，或安裝惡意服務。 當 systemctl 命令用來修改系統單元時會發出警示。	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	明確的將權限提升到 root 使用者會降低將具有權限的活動與特定使用者相互關聯的能力。 執行 su 命令時會發出警示。	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	執行 sudo 命令時會發出警示。	instanceId
capsule8-alerts-dataplane	User Command History Cleared	刪除歷程記錄檔案是不尋常的行為，通常是由隱藏活動的攻擊者或打算逃避稽核控制的合法使用者執行。 刪除命令列歷程記錄檔案時會發出警示。	instanceId
capsule8-alerts-dataplane	New System User Added	攻擊者可能會將新的使用者新增至主機，提供可靠的存取方法。 如果有新的使用者實體被添加到本機帳戶管理檔案 /etc/passwd且不是由系統更新程式添加，則發出警示。	instanceId
capsule8-alerts-dataplane	Password Database Modification	攻擊者可能會直接修改身分識別相關檔案，將新使用者新增至系統。 當與更新現有使用者資訊無關的程式修改與使用者密碼相關的檔案時會發出警示。	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	新增 SSH 公開金鑰是取得遭入侵主機持續存取的常見方法。 如果程式已經屬於進行中事件的一部分，則在嘗試寫入使用者的 SSH authorized_keys 檔案時會發生警示。	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	在遭入侵的節點上建立持續性時，新增使用者是攻擊者常見的步驟。 當身分識別管理程式是由套件管理員以外的程式執行時會發出警示。	instanceId
capsule8-alerts-dataplane	User Configuration Changes	刪除歷程記錄檔案是不尋常的行為，通常是由隱藏活動的攻擊者或打算逃避稽核控制的合法使用者執行。 刪除命令列歷程記錄檔案時會發出警示。	instanceId
capsule8-alerts-dataplane	New System User Added	使用者設定檔和配置檔通常會被修改，以確保每當使用者登入時執行程式，作為一種持續性方法。 當系統更新工具以外的程式修改 .bash_profile 和 bashrc（以及相關檔案）時的警示。	instanceId

防毒軟體監視事件

注意

這些稽核記錄中的 response JSON 物件一律有一個 result 欄位，其中包含一行原始掃描結果。 每個掃描結果通常由多個稽核日誌記錄表示，每個記錄對應一行原始掃描輸出。 如需此檔案中可能顯示的詳細資料，請參閱下列第三方文件。

下列 clamAVScanService-dataplane 事件在工作區級別被記錄。

服務	動作	描述	要求參數
clamAVScanService-dataplane	clamAVScanAction	防毒軟體監視會執行掃描。 記錄檔將針對原始掃描輸出的每一行產生。	instanceId

已被取代的記錄事件

Databricks 已棄用下列 databrickssql 診斷事件：

• createAlertDestination (現為 createNotificationDestination)
• deleteAlertDestination (現為 deleteNotificationDestination)
• updateAlertDestination (現為 updateNotificationDestination)
• muteAlert
• unmuteAlert

SQL 端點記錄

如果您使用已被取代的 SQL 端點 API 建立 SQL 倉儲 (SQL 倉儲的原名)，對應的稽核事件名稱會包含 Endpoint 字樣，而不是 Warehouse。 除了名稱之外，這些事件與 SQL 倉儲事件相同。 若要檢視這些事件的描述和要求參數，請參閱Databricks SQL 事件中的對應倉儲事件。

SQL 端點事件如下：

• changeEndpointAcls
• createEndpoint
• editEndpoint
• startEndpoint
• stopEndpoint
• deleteEndpoint
• setEndpointConfig