Referencia del registro de diagnóstico
Nota:
Esta característica requiere el plan Premium.
En este artículo se proporciona una referencia completa de los eventos y servicios de los registros de auditoría. La disponibilidad de estos servicios depende de cómo acceda a los registros:
- La tabla sistema de registro de auditoría registra todos los eventos y servicios enumerados en este artículo.
- El servicio de configuración de diagnóstico de Azure Monitor no registra todos estos servicios. Los servicios que no están disponibles en la configuración de diagnóstico de Azure se etiquetan en consecuencia.
Nota:
Azure Databricks conserva una copia de los registros de auditoría durante un máximo de 1 año con fines de análisis de seguridad y fraude.
Servicios de registro de diagnóstico
Los siguientes servicios y sus eventos se registran de manera predeterminada en los registros de diagnóstico.
Nota:
Las designaciones de nivel de área de trabajo y de nivel de cuenta solo se aplican a la tabla del sistema de registros de auditoría. Los registros de diagnóstico de Azure no incluyen eventos de nivel de cuenta.
Servicios de nivel de área de trabajo
Nombre del servicio | Descripción |
---|---|
accounts | Eventos relacionados con cuentas, usuarios, grupos y listas de acceso IP. |
clusters | Eventos relacionados con clústeres. |
clusterPolicies | Eventos relacionados con las directivas de clúster. |
dashboards | Eventos relacionados con el uso del panel de IA/BI. |
databrickssql | Eventos relacionados con el uso de Databricks SQL. |
dataMonitoring | Eventos relacionados con la supervisión de almacén de lago. |
dbfs | Eventos relacionados con DBFS. |
deltaPipelines | Eventos relacionados con canalizaciones de Delta Live Table. |
featureStore | Eventos relacionados con el almacén de características de Databricks. |
filesystem | Eventos relacionados con la administración de archivos, que incluye la interacción con archivos mediante la API files o en la interfaz de usuario de volúmenes. |
genie | Eventos relacionados con el acceso al área de trabajo por parte del personal de soporte técnico. Espacios de Genie AI/BI no relacionados. |
gitCredentials | Eventos relacionados con las credenciales de Git para las carpetas de Git de Databricks. Consulte también repos . |
globalInitScripts | Eventos relacionados con scripts de inicialización globales. |
groups | Eventos relacionados con grupos de cuentas y áreas de trabajo. |
iamRole | Eventos relacionados con los permisos de rol de IAM. |
ingesta de datos | Eventos relacionados con cargas de archivos. |
instancePools | Eventos relacionados con grupos. |
jobs | Eventos relacionados con trabajos. |
marketplaceConsumer | Eventos relacionados con las acciones de los consumidores en Databricks Marketplace. |
marketplaceProvider | Eventos relacionados con acciones del proveedor en Databricks Marketplace. |
mlflowAcledArtifact | Eventos relacionados con artefactos de ML Flow con listas ACL. |
mlflowExperiment | Eventos relacionados con experimentos de ML Flow. |
modelRegistry | Eventos relacionados con el registro de modelos. |
notebook | Eventos relacionados con cuadernos. |
partnerConnect | Eventos relacionados con Partner Connect. |
predictiveOptimization | Eventos relacionados con la optimización predictiva. |
remoteHistoryService | Eventos relacionados con la adición de una eliminación de credenciales de GitHub. |
repos | Eventos relacionados con las carpetas de Git de Databricks. Consulte también gitCredentials . |
secrets | Eventos relacionados con secretos. |
serverlessRealTimeInference | Eventos relacionados con el servicio de modelos. |
sqlPermissions | Eventos relacionados con el control de acceso a la tabla de metastore de Hive heredada. |
ssh | Eventos relacionados con el acceso SSH. |
vectorSearch | Eventos relacionados con la búsqueda de vectores. |
webTerminal | Eventos relacionados con la característica de terminal web. |
Área de trabajo | Eventos relacionados con áreas de trabajo. |
Servicios de nivel de cuenta
Los registros de auditoría de nivel de cuenta están disponibles para estos servicios:
Nombre del servicio | Descripción |
---|---|
accountBillableUsage | Acciones relacionadas con el acceso de uso facturable en la consola de la cuenta. |
accountsAccessControl | Acciones relacionadas con las reglas de control de acceso de nivel de cuenta. |
accountsManager | Acciones relacionadas con las configuraciones de conectividad de red. |
budgetPolicyCentral | Acciones relacionadas con la administración de directivas presupuestarias. |
unityCatalog | Acciones realizadas en Unity Catalog. Esto también incluye eventos de Delta Sharing, consulte eventos de Delta Sharing. |
Servicios de supervisión de seguridad adicionales
Hay servicios adicionales y acciones asociadas para áreas de trabajo que usan el perfil de seguridad de cumplimiento (necesario para algunas normas de cumplimiento, como FedRAMP, PCI e HIPAA) o Supervisión de seguridad mejorada.
Estos son servicios de nivel de área de trabajo que solo se generarán en los registros si usa el perfil de seguridad de cumplimiento o la supervisión de seguridad mejorada:
Nombre del servicio | Descripción |
---|---|
capsule8-alerts-dataplane | Acciones relacionadas con la supervisión de la integridad de los archivos. |
clamAVScanService-dataplane | Acciones relacionadas con la supervisión del antivirus. |
Esquema de ejemplo de registro de diagnóstico
En Azure Databricks, los registros de diagnóstico generan eventos en formato JSON. En Azure Databricks, los registros de auditoría generan eventos en formato JSON. Las propiedades serviceName
y actionName
identifican al evento. La convención de nomenclatura sigue la API de REST de Databricks.
El ejemplo JSON siguiente es un ejemplo de un evento registrado cuando un usuario creó un trabajo:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Consideraciones sobre el esquema de registro de diagnóstico
- Si las acciones llevan mucho tiempo, la solicitud y la respuesta se registran por separado, pero el par de solicitud y respuesta tiene el mismo valor de
requestId
. - El usuario
System-User
realiza las acciones automatizadas, como cambiar el tamaño de un clúster debido al escalado automático o iniciar un trabajo debido a la programación. - El campo
requestParams
está sujeto a truncamiento. Si el tamaño de su representación JSON supera los 100 KB, los valores se truncan y la cadena... truncated
se anexa a las entradas truncadas. En ocasiones excepcionales, cuando una asignación truncada sigue siendo mayor que 100 KB, en su lugar hay una sola claveTRUNCATED
con un valor vacío.
Eventos de cuentas
A continuación se muestran los eventos registrados accounts
en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
accounts |
activateUser |
Un usuario se reactiva después de desactivarse. Consulte la sección sobre cómo desactivar usuarios en el área de trabajo. | - targetUserName - endpoint - targetUserId |
accounts |
aadBrowserLogin |
Un usuario inicia sesión en Databricks a través del flujo de trabajo del explorador de Microsoft Entra ID. | - user |
accounts |
aadTokenLogin |
Un usuario inicia sesión en Databricks a través del token de Microsoft Entra ID. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Se autentica un cliente de OAuth. | - endpoint |
accounts |
activateUser |
Un administrador agrega un usuario a la cuenta de Databricks desde Azure Portal. | - warehouse - targetUserName - targetUserId |
accounts |
add |
Se agrega un usuario a un área de trabajo de Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Se agrega un usuario a un grupo de nivel de área de trabajo. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
changeDatabricksSqlAcl |
Se cambian los permisos de Databricks SQL de un usuario. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Se cambian los permisos de un área de trabajo. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDbTokenAcl |
Cuando se cambian los permisos de un token. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Cuando se cambian los permisos de una entidad de servicio. | - shardName - targetServicePrincipal - resourceId - aclPermissionSet |
accounts |
createGroup |
Se crea un grupo de nivel de área de trabajo. | - endpoint - targetGroupId - targetGroupName |
accounts |
createIpAccessList |
Se agrega una lista de acceso de IP al área de trabajo. | - ipAccessListId - userId |
accounts |
deactivateUser |
Se desactiva un usuario en el área de trabajo. Consulte la sección sobre cómo desactivar usuarios en el área de trabajo. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Se elimina un usuario del área de trabajo de Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteIpAccessList |
Se elimina una lista de acceso de IP del área de trabajo. | - ipAccessListId - userId |
accounts |
garbageCollectDbToken |
Un usuario ejecuta un comando de recolección de elementos no utilizados en tokens expirados. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
Cuando alguien genera un token desde la configuración de usuario o cuando el servicio genera el token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
IpAccessDenied |
Un usuario intenta conectarse al servicio a través de una dirección IP denegada. | - path - userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
Un usuario inicia sesión en Databricks mediante un JWT. | - user |
accounts |
login |
Un usuario inicia sesión en el área de trabajo. | - user |
accounts |
logout |
Un usuario cierra la sesión del área de trabajo. | - user |
accounts |
oidcTokenAuthorization |
Cuando se autoriza una llamada API a través de un token genérico de OIDC u OAuth. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Cuando el número actual de tokens no expirados supera la cuota de tokens. | |
accounts |
removeAdmin |
Se revocan los permisos de administrador del área de trabajo de un usuario. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Se quita un grupo del área de trabajo. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
Se quita un usuario de un grupo. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
revokeDbToken |
El token de un usuario se quita de un área de trabajo. Lo puede desencadenar un usuario que se va a quitar de la cuenta de Databricks. | - userId |
accounts |
setAdmin |
Se le conceden permisos de administrador de cuenta a un usuario. | - endpoint - targetUserName - targetUserId |
accounts |
tokenLogin |
Un usuario inicia sesión en Databricks mediante un token. | - tokenId - user |
accounts |
updateIpAccessList |
Se cambia una lista de acceso de IP. | - ipAccessListId - userId |
accounts |
updateUser |
Se realiza un cambio en la cuenta de un usuario. | - warehouse - targetUserName - targetUserId |
accounts |
validateEmail |
Cuando un usuario valida su correo electrónico después de la creación de la cuenta. | - endpoint - targetUserName - targetUserId |
Eventos de clústeres
A continuación se muestran los eventos registrados cluster
en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
clusters |
changeClusterAcl |
Un usuario cambia la ACL del clúster. | - shardName - aclPermissionSet - targetUserId - resourceId |
clusters |
create |
Un usuario crea un clúster. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
createResult |
Resultados de la creación del clúster. Junto con create . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
delete |
Se finaliza un clúster. | - cluster_id |
clusters |
deleteResult |
Resultados de la terminación del clúster. Junto con delete . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
edit |
Un usuario realiza cambios en la configuración del clúster. Se registran todos los cambios, excepto los cambios de tamaño del clúster o el comportamiento de escalado automático. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
permanentDelete |
Un clúster se elimina de la interfaz de usuario. | - cluster_id |
clusters |
resize |
Un clúster cambia de tamaño. Se registra en clústeres en ejecución en los que la única propiedad que cambia es el tamaño del clúster o el comportamiento de escalado automático. | - cluster_id - num_workers - autoscale |
clusters |
resizeResult |
Resultados del cambio de tamaño del clúster. Junto con resize . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
restart |
Un usuario reinicia un clúster en ejecución. | - cluster_id |
clusters |
restartResult |
Resultados del reinicio del clúster. Junto con restart . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
start |
Un usuario inicia un clúster. | - init_scripts_safe_mode - cluster_id |
clusters |
startResult |
Resultados del inicio del clúster. Junto con start . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
Eventos de bibliotecas de clúster
A continuación se muestran los eventos registrados clusterLibraries
en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
clusterLibraries |
installLibraries |
Un usuario instala una biblioteca en un clúster. | - cluster_id - libraries |
clusterLibraries |
uninstallLibraries |
Un usuario desinstala una biblioteca de un clúster. | - cluster_id - libraries |
clusterLibraries |
installLibraryOnAllClusters |
Un administrador de área de trabajo programa la instalación de una biblioteca en todo el clúster. | - user - library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Un administrador de área de trabajo quita una biblioteca de la lista para instalar en todos los clústeres. | - user - library |
Eventos de directiva de clúster
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
A continuación se muestran los eventos registrados clusterPolicies
en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
clusterPolicies |
create |
Un usuario creó una directiva de clúster. | - name |
clusterPolicies |
edit |
Un usuario editó una directiva de clúster. | - policy_id - name |
clusterPolicies |
delete |
Un usuario eliminó una directiva de clúster. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Un administrador del área de trabajo cambia los permisos de una directiva de clúster. | - shardName - targetUserId - resourceId - aclPermissionSet |
Eventos de paneles
A continuación se muestran los eventos registrados dashboards
en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
dashboards |
getDashboard |
Un usuario accede a la versión de un panel borrador, ya sea viéndolo en la interfaz de usuario o solicitando la definición del panel mediante la API. Solo los usuarios del área de trabajo pueden acceder a la versión de borrador de un panel. | - dashboard_id |
dashboards |
getPublishedDashboard |
Un usuario accede a la versión publicada de un panel viéndola en la interfaz de usuario o solicitando la definición del panel mediante la API. Incluye la actividad de los usuarios del área de trabajo y de los usuarios de la cuenta. Excluye la recepción de una instantánea en PDF de un panel mediante el correo electrónico programado. | - dashboard_id - credentials_embedded |
dashboards |
executeQuery |
Un usuario ejecuta una consulta desde un panel. | - dashboard_id - statement_id |
dashboards |
cancelQuery |
Un usuario cancela una consulta desde un panel. | - dashboard_id - statement_id |
dashboards |
getQueryResult |
Un usuario recibe los resultados de una consulta desde un panel. | - dashboard_id - statement_id |
dashboards |
sendDashboardSnapshot |
Se envía una instantánea en PDF de un panel a través de un correo electrónico programado. Los valores de los parámetros de solicitud dependen del tipo de destinatario. En el caso de un destino de notificación de Databricks, solo se muestra destination_id . En el caso de un usuario de Databricks, se muestran el identificador de usuario y la dirección de correo electrónico del suscriptor. Si el destinatario es una dirección de correo electrónico, solo se muestra la dirección de correo electrónico. |
- dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id ,email_address } |
dashboards |
getDashboardDetails |
Un usuario accede a los detalles de un panel borrador, como conjuntos de datos y widgets. getDashboardDetails siempre se genera cuando un usuario ve un panel borrador mediante la interfaz de usuario o solicita la definición del panel mediante la API. |
- dashboard_id |
dashboards |
createDashboard |
Un usuario crea un nuevo panel de IA/BI mediante la interfaz de usuario o la API. | - dashboard_id |
dashboards |
updateDashboard |
Un usuario realiza una actualización a un panel de IA/BI mediante la interfaz de usuario o la API. | - dashboard_id |
dashboards |
cloneDashboard |
Un usuario clona un panel de IA/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
publishDashboard |
Un usuario publica un panel de IA/BI con o sin credenciales incrustadas mediante la interfaz de usuario o la API. | - dashboard_id - credentials_embedded - warehouse_id |
dashboards |
unpublishDashboard |
Un usuario anula la publicación de un panel de IA/BI publicado mediante la interfaz de usuario o la API. | - dashboard_id |
dashboards |
trashDashboard |
Un usuario mueve un panel de IA/BI a la papelera mediante la interfaz de usuario o la API. | - dashboard_id |
dashboards |
restoreDashboard |
Un usuario restaura un panel de IA/BI desde la papelera. | - dashboard_id |
dashboards |
migrateDashboard |
Un usuario migra un panel de DBSQL a un panel de IA/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
createSchedule |
Un usuario crea una programación de suscripción de correo electrónico. | - dashboard_id - schedule_id |
dashboards |
updateSchedule |
Un usuario realiza una actualización a la programación de un panel de IA/BI. | - dashboard_id - schedule_id |
dashboards |
deleteSchedule |
Un usuario elimina la programación de un panel de IA/BI. | - dashboard_id - schedule_id |
dashboards |
createSubscription |
Un usuario suscribe un destino de correo electrónico a una programación del panel de IA/BI. | - dashboard_id - schedule_id - schedule |
dashboards |
deleteSubscription |
Un usuario elimina un destino de correo electrónico de una programación del panel de IA/BI. | - dashboard_id - schedule_id |
Eventos de Databricks SQL
A continuación se muestran los eventos registrados databrickssql
en el nivel de área de trabajo.
Nota:
Si administra los almacenes de SQL mediante la API de puntos de conexión de SQL heredados, los eventos de auditoría de SQL Warehouse tendrán nombres de acción diferentes. Consulte Registros de puntos de conexión de SQL.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
databrickssql |
addDashboardWidget |
Un widget se agrega a un panel. | - dashboardId - widgetId |
databrickssql |
cancelQueryExecution |
La ejecución de una consulta se cancela desde la interfaz de usuario del editor de SQL. Esto no incluye cancelaciones que se originan en la interfaz de usuario de Historial de consultas o en la API de ejecución de SQL de Databricks. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Un administrador de área de trabajo actualiza los permisos de un almacén de SQL. | - aclPermissionSet - resourceId - shardName - targetUserId |
databrickssql |
changePermissions |
Un usuario actualiza los permisos de un objeto. | - granteeAndPermission - objectId - objectType |
databrickssql |
cloneDashboard |
Un usuario clona un panel. | - dashboardId |
databrickssql |
commandSubmit |
Solo en registros de auditoría detallados. Se genera cuando se envía un comando a un almacén de SQL, independientemente del origen de la solicitud. | - warehouseId - commandId - validation - commandText |
databrickssql |
commandFinish |
Solo en registros de auditoría detallados. Se genera cuando un comando del almacén de SQL se completa o se cancela, independientemente del origen de la solicitud de cancelación. | - warehouseId - commandId |
databrickssql |
createAlert |
Un usuario crea una alerta. | - alertId |
databrickssql |
createNotificationDestination |
Un administrador de área de trabajo crea un destino de notificación. | - notificationDestinationId - notificationDestinationType |
databrickssql |
createDashboard |
Un usuario crea un panel. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Un usuario crea un panel de vista previa de datos. | - dashboardId |
databrickssql |
createWarehouse |
Un usuario con el derecho de creación del clúster crea un almacén de SQL. | - auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides |
databrickssql |
createQuery |
Un usuario crea una nueva consulta. | - queryId |
databrickssql |
createQueryDraft |
Un usuario crea un borrador de consulta. | - queryId |
databrickssql |
createQuerySnippet |
Un usuario crea un fragmento de consulta. | - querySnippetId |
databrickssql |
createSampleDashboard |
Un usuario crea un panel de ejemplo. | - sampleDashboardId |
databrickssql |
createVisualization |
Un usuario genera una visualización mediante el editor de SQL. Excluye las tablas de resultados predeterminadas y las visualizaciones en cuadernos que usan almacenes de SQL. | - queryId - visualizationId |
databrickssql |
deleteAlert |
Un usuario elimina una alerta de la interfaz de alerta o mediante la API. Excluye las eliminaciones de la interfaz de usuario del explorador de archivos. | - alertId |
databrickssql |
deleteNotificationDestination |
Un administrador de área de trabajo elimina un destino de notificación. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Un usuario elimina un panel desde la interfaz del panel o mediante la API. Excluye la eliminación a través de la interfaz de usuario del explorador de archivos. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Un usuario elimina un widget de panel. | - widgetId |
databrickssql |
deleteWarehouse |
Un administrador de almacenamiento elimina un almacén de SQL. | - id |
databrickssql |
deleteQuery |
Un usuario elimina una consulta, ya sea desde la interfaz de consulta o mediante la API. Excluye la eliminación a través de la interfaz de usuario del explorador de archivos. | - queryId |
databrickssql |
deleteQueryDraft |
Un usuario elimina un borrador de consulta. | - queryId |
databrickssql |
deleteQuerySnippet |
Un usuario elimina un fragmento de consulta. | - querySnippetId |
databrickssql |
deleteVisualization |
Un usuario elimina una visualización de una consulta en el Editor de SQL. | - visualizationId |
databrickssql |
downloadQueryResult |
Un usuario descarga un resultado de consulta del Editor de SQL. Excluye las descargas de los paneles. | - fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId |
databrickssql |
editWarehouse |
Un administrador del almacén realiza modificaciones en un almacén de SQL. | - auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags |
databrickssql |
executeAdhocQuery |
Generado por uno de los siguientes elementos: - Un usuario ejecuta un borrador de consulta en el editor de SQL - Una consulta se ejecuta desde una agregación de visualización - Un usuario carga un panel y ejecuta consultas subyacentes |
- dataSourceId |
databrickssql |
executeSavedQuery |
Un usuario ejecuta una consulta guardada. | - queryId |
databrickssql |
executeWidgetQuery |
Generado por cualquier evento que ejecute una consulta de forma que se actualice un panel de panel. Algunos ejemplos de eventos aplicables incluyen: - Actualización de un único panel - Actualización de un panel completo - Ejecuciones programadas del panel - Parámetros o cambios de filtro que funcionan en más de 64 000 filas |
- widgetId |
databrickssql |
favoriteDashboard |
Un usuario marca un panel como favorito. | - dashboardId |
databrickssql |
favoriteQuery |
Un usuario marca una consulta como favorita. | - queryId |
databrickssql |
forkQuery |
Un usuario clona un cuaderno. | - originalQueryId - queryId |
databrickssql |
listQueries |
Un usuario abre la página de lista de consultas o llama a la API de consulta de lista. | - filter_by - include_metrics - max_results - page_token |
databrickssql |
moveAlertToTrash |
Un usuario mueve una alerta a la papelera. | - alertId |
databrickssql |
moveDashboardToTrash |
Un usuario mueve un panel a la papelera. | - dashboardId |
databrickssql |
moveQueryToTrash |
Un usuario mueve una consulta a la papelera. | - queryId |
databrickssql |
restoreAlert |
Un usuario restaura una alerta de la papelera. | - alertId |
databrickssql |
restoreDashboard |
Un usuario restaura un panel de la papelera. | - dashboardId |
databrickssql |
restoreQuery |
Un usuario restaura una consulta de la papelera. | - queryId |
databrickssql |
setWarehouseConfig |
Un administrador de área de trabajo establece la configuración de un almacén de SQL. | - data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Un usuario toma una instantánea de un panel. Incluye instantáneas de panel programadas. | - dashboardId |
databrickssql |
startWarehouse |
Se inicia un almacén de SQL. | - id |
databrickssql |
stopWarehouse |
Un administrador de almacenamiento detiene un almacén de SQL. Excluye los almacenes detenidos automáticamente. | - id |
databrickssql |
transferObjectOwnership |
Un administrador de área de trabajo transfiere la propiedad de un panel, una consulta o una alerta a un usuario activo mediante la API de transferencia de propiedad de objetos. La transferencia de propiedad realizada a través de la interfaz de usuario o las API de actualización no se captura mediante este evento de registro de auditoría. | - newOwner - objectId - objectType |
databrickssql |
unfavoriteDashboard |
Un usuario quita un panel de sus favoritos. | - dashboardId |
databrickssql |
unfavoriteQuery |
Un usuario quita una consulta de sus favoritos. | - queryId |
databrickssql |
updateAlert |
Un usuario realiza actualizaciones en una alerta. ownerUserName se rellena si la propiedad de la alerta se transfiere mediante la API. |
- alertId - queryId - ownerUserName |
databrickssql |
updateNotificationDestination |
Un administrador de área de trabajo realiza una actualización en un destino de notificación. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Un usuario realiza una actualización en un widget de panel. Excluye los cambios en las escalas del eje. Entre los ejemplos de actualizaciones aplicables se incluyen: - Cambio del tamaño del widget o de la selección de ubicación - Adición o eliminación de parámetros de widget |
- widgetId |
databrickssql |
updateDashboard |
Un usuario realiza una actualización en un widget de panel. Excluye los cambios en las programaciones y las suscripciones. Entre los ejemplos de actualizaciones aplicables se incluyen: - Cambio del nombre del panel - Cambio del almacén de SQL - Cambio a la configuración de ejecución |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Un administrador de área de trabajo realiza actualizaciones en la configuración de SQL del área de trabajo. | - has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions |
databrickssql |
updateQuery |
Un usuario realiza una actualización en una consulta. ownerUserName se rellena si la propiedad de la consulta se transfiere mediante la API. |
- queryId - ownerUserName |
databrickssql |
updateQueryDraft |
Un usuario realiza una actualización en un borrador de consulta. | - queryId |
databrickssql |
updateQuerySnippet |
Un usuario realiza una actualización en un fragmento de consulta. | - querySnippetId |
databrickssql |
updateVisualization |
Un usuario actualiza una visualización desde el Editor de SQL o el panel. | - visualizationId |
Eventos de supervisión de datos
Los siguientes eventos dataMonitoring
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
dataMonitoring |
CreateMonitor |
El usuario crea un monitor. | - data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log |
dataMonitoring |
UpdateMonitor |
El usuario realiza una actualización en un monitor. | - data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs |
dataMonitoring |
DeleteMonitor |
El usuario elimina un monitor. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
El monitor se actualiza, ya sea mediante programación o manualmente. | - full_table_name_arg |
Eventos de DBFS
Las siguientes tablas incluyen eventos registrados dbfs
en el nivel de área de trabajo.
Hay dos tipos de eventos de DBFS: llamadas API y eventos operativos.
Eventos de API de DBFS
Los siguientes eventos de auditoría de DBFS solo se registran cuando se escriben a través de la API de REST de DBFS.
Servicio | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
dbfs |
addBlock |
Un usuario anexa un bloque de datos al flujo. Se usa junto con dbfs/create para transmitir datos a DBFS. | - handle - data_length |
dbfs |
create |
Un usuario abre un flujo para escribir un archivo en DBFS. | - path - bufferSize - overwrite |
dbfs |
delete |
Un usuario elimina el archivo o directorio de DBFS. | - recursive - path |
dbfs |
mkdirs |
Un usuario crea un nuevo directorio de DBFS. | - path |
dbfs |
move |
Un usuario mueve un archivo de una ubicación a otra en DBFS. | - dst - source_path - src - destination_path |
dbfs |
put |
Un usuario carga un archivo mediante una publicación de formulario de varias partes en DBFS. | - path - overwrite |
Eventos operativos de DBFS
Los siguientes eventos de auditoría de DBFS se producen en el plano de proceso.
Servicio | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
dbfs |
mount |
Un usuario crea un punto de montaje en una determinada ubicación de DBFS. | - mountPoint - owner |
dbfs |
unmount |
Un usuario elimina un punto de montaje en una determinada ubicación de DBFS. | - mountPoint |
Eventos de canalizaciones delta
Servicio | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
deltaPipelines |
changePipelineAcls |
Un usuario cambia los permisos de una canalización. | - shardId - targetUserId - resourceId - aclPermissionSet |
deltaPipelines |
create |
Un usuario crea una canalización de Delta Live Tables. | - allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon |
deltaPipelines |
delete |
Un usuario elimina una canalización de Delta Live Tables. | - pipeline_id |
deltaPipelines |
edit |
Un usuario edita una canalización de Delta Live Tables. | - allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon |
deltaPipelines |
startUpdate |
Un usuario reinicia una canalización de Delta Live Tables. | - cause - full_refresh - job_task - pipeline_id |
deltaPipelines |
stop |
Un usuario detiene una canalización de Delta Live Tables. | - pipeline_id |
Eventos de almacenes de características
Los siguientes eventos featureStore
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
featureStore |
addConsumer |
Se agrega un consumidor al almacén de características. | - features - job_run - notebook |
featureStore |
addDataSources |
Se agrega un origen de datos a una tabla de características. | - feature_table - paths, tables |
featureStore |
addProducer |
Se agrega un productor a una tabla de características. | - feature_table - job_run - notebook |
featureStore |
changeFeatureTableAcl |
Los permisos se cambian en una tabla de características. | - aclPermissionSet - resourceId - shardName - targetUserId |
featureStore |
createFeatureTable |
Se crea una tabla de características. | - description - name - partition_keys - primary_keys - timestamp_keys |
featureStore |
createFeatures |
Las características se crean en una tabla de características. | - feature_table - features |
featureStore |
deleteFeatureTable |
Se elimina una tabla de características. | - name |
featureStore |
deleteTags |
Las etiquetas se eliminan de una tabla de características. | - feature_table_id - keys |
featureStore |
getConsumers |
Un usuario realiza una llamada para obtener los consumidores de una tabla de características. | - feature_table |
featureStore |
getFeatureTable |
Un usuario realiza una llamada para obtener las tablas de características. | - name |
featureStore |
getFeatureTablesById |
Un usuario realiza una llamada para obtener los identificadores de las tablas de características. | - ids |
featureStore |
getFeatures |
Un usuario realiza una llamada para obtener las características. | - feature_table - max_results |
featureStore |
getModelServingMetadata |
Un usuario realiza una llamada para obtener metadatos del servicio de modelos. | - feature_table_features |
featureStore |
getOnlineStore |
Un usuario realiza una llamada para obtener los detalles de la tienda en línea. | - cloud - feature_table - online_table - store_type |
featureStore |
getTags |
Un usuario realiza una llamada para obtener las etiquetas de una tabla de características. | - feature_table_id |
featureStore |
publishFeatureTable |
Se publica una tabla de características. | - cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix |
featureStore |
searchFeatureTables |
Un usuario busca tablas de características. | - max_results - page_token - text |
featureStore |
setTags |
Las etiquetas se agregan a una tabla de características. | - feature_table_id - tags |
featureStore |
updateFeatureTable |
Se actualiza una tabla de características. | - description - name |
Eventos de archivos
Los siguientes eventos filesystem
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
filesystem |
filesGet |
El usuario descarga un archivo mediante la API de archivos o la interfaz de usuario de volúmenes. | - path - transferredSize |
filesystem |
filesPut |
El usuario carga un archivo mediante la API files o la interfaz de usuario de volúmenes. | - path - receivedSize |
filesystem |
filesDelete |
El usuario elimina un archivo mediante la API files o la interfaz de usuario de volúmenes. | - path |
filesystem |
filesHead |
El usuario obtiene información sobre un archivo mediante la API de archivos o la interfaz de usuario de volúmenes. | - path |
Eventos de Genie
Los siguientes eventos genie
se registran en el nivel de área de trabajo.
Nota:
Este servicio no está relacionado con los espacios de Genie AI/BI.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
genie |
databricksAccess |
Un miembro del personal de Databricks se autoriza a acceder a un entorno de cliente. | - duration - approver - reason - authType - user |
Eventos de credenciales de Git
Los siguientes eventos gitCredentials
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
gitCredentials |
getGitCredential |
Un usuario obtiene una credencial de Git. | - id |
gitCredentials |
listGitCredentials |
Un usuario enumera todas las credenciales de Git. | None |
gitCredentials |
deleteGitCredential |
Un usuario elimina una credencial de Git. | - id |
gitCredentials |
updateGitCredential |
Un usuario actualiza una credencial de Git. | - id - git_provider - git_username |
gitCredentials |
createGitCredential |
Un usuario crea una credencial de Git. | - git_provider - git_username |
Eventos de scripts de inicialización globales
Los siguientes eventos globalInitScripts
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
globalInitScripts |
create |
Un administrador de área de trabajo crea un script de inicialización global. | - name - position - script-SHA256 - enabled |
globalInitScripts |
update |
Un administrador de área de trabajo actualiza un script de inicialización global. | - script_id - name - position - script-SHA256 - enabled |
globalInitScripts |
delete |
Un administrador de área de trabajo elimina un script de inicialización global. | - script_id |
Eventos de grupos
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos groups
se registran en el nivel de área de trabajo. Estas acciones están relacionadas con los grupos de ACL heredados. Para ver las acciones relacionadas con los grupos de nivel de cuenta y área de trabajo, consulte Eventos de cuentas y Eventos de cuentas de nivel de cuenta.
Servicio | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
groups |
addPrincipalToGroup |
Un administrador agrega un usuario a un grupo. | - user_name - parent_name |
groups |
createGroup |
Un administrador crea un grupo. | - group_name |
groups |
getGroupMembers |
Un administrador ve a los miembros de un grupo. | - group_name |
groups |
getGroups |
Un administrador ve una lista de grupos | None |
groups |
getInheritedGroups |
Un administrador ve grupos heredados | None |
groups |
removeGroup |
Un administrador quita un grupo. | - group_name |
Eventos de roles de IAM
El siguiente evento iamRole
se registra en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
iamRole |
changeIamRoleAcl |
Un administrador de área de trabajo cambia los permisos de un rol de IAM. | - targetUserId - shardName - resourceId - aclPermissionSet |
Eventos de ingesta de datos
El siguiente evento ingestion
se registra en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
ingestion |
proxyFileUpload |
Un usuario carga un archivo en su área de trabajo de Azure Databricks. | - x-databricks-content-length-0 - x-databricks-total-files |
Eventos de grupos de instancias
Los siguientes eventos instancePools
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
instancePools |
changeInstancePoolAcl |
Un usuario cambia los permisos de un grupo de instancias. | - shardName - resourceId - targetUserId - aclPermissionSet |
instancePools |
create |
Un usuario crea un grupo de instancias. | - enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes |
instancePools |
delete |
Un usuario elimina un grupo de instancias. | - instance_pool_id |
instancePools |
edit |
Un usuario edita un grupo de instancias. | - instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes |
Eventos de trabajos
Los siguientes eventos jobs
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
jobs |
cancel |
Se cancela una ejecución de trabajo. | - run_id |
jobs |
cancelAllRuns |
Un usuario cancela todas las ejecuciones en un trabajo. | - job_id |
jobs |
changeJobAcl |
Un usuario actualiza los permisos de un trabajo. | - shardName - aclPermissionSet - resourceId - targetUserId |
jobs |
create |
Un usuario crea un trabajo. | - spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as |
jobs |
delete |
Un usuario elimina un trabajo. | - job_id |
jobs |
deleteRun |
Un usuario elimina la ejecución de un trabajo. | - run_id |
jobs |
getRunOutput |
Un usuario realiza una llamada API para obtener la salida de una ejecución. | - run_id - is_from_webapp |
jobs |
repairRun |
Un usuario repara la ejecución de un trabajo. | - run_id - latest_repair_id - rerun_tasks |
jobs |
reset |
Se restablece un trabajo. | - job_id - new_settings |
jobs |
resetJobAcl |
Un usuario solicita el cambio de los permisos de un trabajo. | - grants - job_id |
jobs |
runCommand |
Disponible cuando se habilitan los registros de auditoría detallados. Se emite después de ejecutar un comando en un cuaderno mediante una ejecución de trabajo. Un comando corresponde a una celda de un cuaderno. | - jobId - runId - notebookId - executionTime - status - commandId - commandText |
jobs |
runFailed |
Se produce un error en la ejecución de un trabajo. | - jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName |
jobs |
runNow |
Un usuario desencadena la ejecución de un trabajo a petición. | - notebook_params - job_id - jar_params - workflow_context |
jobs |
runStart |
Se emite cuando se inicia la ejecución de un trabajo después de la validación y la creación del clúster. Los parámetros de la solicitud emitidos desde este evento dependen del tipo de tareas del trabajo. Además de los parámetros enumerados, pueden incluir los siguientes: - dashboardId (en el caso de una tarea de panel de SQL)- filePath (en el caso de una tarea de archivo de SQL)- notebookPath (en el caso de una tarea de cuaderno)- mainClassName (en el caso de una tarea JAR de Spark)- pythonFile (en el caso de una tarea JAR de Spark)- projectDirectory (en el caso de una tarea dbt)- commands (en el caso de una tarea dbt)- packageName (en el caso de una tarea wheel de Python)- entryPoint (en el caso de una tarea wheel de Python)- pipelineId (en el caso de una tarea de canalización)- queryIds (en el caso de una tarea de consulta SQL)- alertId (en el caso de una tarea de alerta de SQL) |
- taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName |
jobs |
runSucceeded |
La ejecución de un trabajo se realiza correctamente. | - idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName |
jobs |
runTriggered |
La programación de un trabajo se desencadena automáticamente según su programación o desencadenador. | - jobId - jobTriggeredType - runId |
jobs |
sendRunWebhook |
Se envía un webhook cuando el trabajo comienza, se completa o falla. | - orgId - jobId - jobWebhookId - jobWebhookEvent - runId |
jobs |
setTaskValue |
Un usuario establece los valores para una tarea. | - run_id - key |
jobs |
submitRun |
Un usuario envía una ejecución única a través de la API. | - shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task |
jobs |
update |
Un usuario edita la configuración de un trabajo. | - job_id - fields_to_remove - new_settings - is_from_dlt |
Eventos de consumo en el mercado
Los siguientes eventos marketplaceConsumer
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
marketplaceConsumer |
getDataProduct |
Un usuario obtiene acceso a un producto de datos a través de Databricks Marketplace. | - listing_id - listing_name - share_name - catalog_name - request_context : Matriz de información sobre la cuenta y el metastore que obtuvo acceso al producto de datos |
marketplaceConsumer |
requestDataProduct |
Un usuario solicita acceso a un producto de datos que requiere la aprobación del proveedor. | - listing_id - listing_name - catalog_name - request_context : Matriz de información sobre la cuenta y el metastore que solicita acceso al producto de datos |
Eventos para proveedores del mercado
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos marketplaceProvider
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
marketplaceProvider |
createListing |
Un administrador de un metastore crea un listado en su perfil de proveedor. | - listing : Matriz de detalles sobre el anuncio- request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
updateListing |
Un administrador de una metastore actualiza una entrada de su perfil de proveedor. | - id - listing : Matriz de detalles sobre el anuncio- request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
deleteListing |
Un administrador de un metastore elimina un listado de su perfil de proveedor. | - id - request_context : Matriz de detalles sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
updateConsumerRequestStatus |
Un administrador del metastore aprueba o deniega una solicitud de producto de datos. | - listing_id - request_id - status - reason - share : Matriz de información sobre la acción- request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
createProviderProfile |
Un administrador de un metastore crea un perfil de proveedor. | - provider : Matriz de información sobre el proveedor- request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
updateProviderProfile |
Un administrador de un metastore actualiza su perfil de proveedor. | - id - provider : Matriz de información sobre el proveedor- request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
deleteProviderProfile |
Un administrador de un metastore elimina su perfil de proveedor. | - id - request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
marketplaceProvider |
uploadFile |
Un proveedor carga un archivo en su perfil de proveedor. | - request_context : Matriz de información sobre la cuenta del proveedor y el metastore- marketplace_file_type - display_name - mime_type - file_parent : Matriz de datos del archivo principal |
marketplaceProvider |
deleteFile |
Un proveedor elimina un archivo de su perfil de proveedor. | - file_id - request_context : Matriz de información sobre la cuenta del proveedor y el metastore |
Eventos de artefactos de MLflow con ACL
Los siguientes eventos mlflowAcledArtifact
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Un usuario realiza una llamada para leer un artefacto. | - artifactLocation - experimentId - runId |
mlflowAcledArtifact |
writeArtifact |
Un usuario realiza una llamada para escribir en un artefacto. | - artifactLocation - experimentId - runId |
Eventos de experimentos de MLflow
Los siguientes eventos mlflowExperiment
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Un usuario crea un experimento de MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Un usuario elimina un experimento de MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
moveMlflowExperiment |
Un usuario mueve un experimento de MLflow. | - newPath - experimentId - oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Un usuario restaura un experimento de MLflow. | - experimentId - path - experimentName |
mlflowExperiment |
renameMlflowExperiment |
Un usuario cambia el nombre de un experimento de MLflow. | - oldName - newName - experimentId - parentPath |
Eventos de registro de modelos de MLflow
Los siguientes eventos mlflowModelRegistry
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
modelRegistry |
approveTransitionRequest |
Un usuario aprueba una solicitud de transición de fase de la versión del modelo. | - name - version - stage - archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Un usuario actualiza los permisos de un modelo registrado. | - registeredModelId - userId |
modelRegistry |
createComment |
Un usuario publica un comentario en una versión del modelo. | - name - version |
modelRegistry |
createModelVersion |
Un usuario crea una versión del modelo. | - name - source - run_id - tags - run_link |
modelRegistry |
createRegisteredModel |
Un usuario crea un nuevo modelo registrado. | - name - tags |
modelRegistry |
createRegistryWebhook |
Un usuario crea un webhook para los eventos del registro de modelos. | - orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec |
modelRegistry |
createTransitionRequest |
Un usuario crea una solicitud de transición de fase de la versión del modelo. | - name - version - stage |
modelRegistry |
deleteComment |
Un usuario elimina un comentario en una versión del modelo. | - id |
modelRegistry |
deleteModelVersion |
Un usuario elimina una versión del modelo. | - name - version |
modelRegistry |
deleteModelVersionTag |
Un usuario elimina una etiqueta de versión del modelo. | - name - version - key |
modelRegistry |
deleteRegisteredModel |
Un usuario elimina un modelo registrado. | - name |
modelRegistry |
deleteRegisteredModelTag |
Un usuario elimina la etiqueta de un modelo registrado. | - name - key |
modelRegistry |
deleteRegistryWebhook |
Un usuario elimina un webhook del registro de modelos. | - orgId - webhookId |
modelRegistry |
deleteTransitionRequest |
Un usuario cancela una solicitud de transición de fase de la versión del modelo. | - name - version - stage - creator |
modelRegistry |
finishCreateModelVersionAsync |
Se completa la copia de modelos asincrónica. | - name - version |
modelRegistry |
generateBatchInferenceNotebook |
El cuaderno de inferencia por lotes se genera automáticamente. | - userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath |
modelRegistry |
generateDltInferenceNotebook |
El cuaderno de inferencia para una canalización de Delta Live Tables se genera automáticamente. | - userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Un usuario obtiene un URI para descargar la versión del modelo. | - name - version |
modelRegistry |
getModelVersionSignedDownloadUri |
Un usuario obtiene un URI para descargar una versión del modelo firmada. | - name - version - path |
modelRegistry |
listModelArtifacts |
Un usuario realiza una llamada para enumerar los artefactos de un modelo. | - name - version - path - page_token |
modelRegistry |
listRegistryWebhooks |
Un usuario realiza una llamada para enumerar todos los webhooks del registro en el modelo. | - orgId - registeredModelId |
modelRegistry |
rejectTransitionRequest |
Un usuario rechaza una solicitud de transición de fase de la versión del modelo. | - name - version - stage |
modelRegistry |
renameRegisteredModel |
Un usuario cambia el nombre de un modelo registrado. | - name - new_name |
modelRegistry |
setEmailSubscriptionStatus |
Un usuario actualiza el estado de la suscripción por correo electrónico para un modelo registrado. | |
modelRegistry |
setModelVersionTag |
Un usuario establece una etiqueta de versión del modelo. | - name - version - key - value |
modelRegistry |
setRegisteredModelTag |
Un usuario establece una etiqueta de versión del modelo. | - name - key - value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Un usuario actualiza su estado de notificaciones por correo electrónico para todo el registro. | - orgId - userId - subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Un usuario prueba el webhook del registro de modelos. | - orgId - webhookId |
modelRegistry |
transitionModelVersionStage |
Un usuario obtiene una lista de todas las solicitudes abiertas de transición de fase para la versión del modelo. | - name - version - stage - archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Un webhook del registro de modelos se desencadena mediante un evento. | - orgId - registeredModelId - events - status |
modelRegistry |
updateComment |
Un usuario publica una modificación en un comentario en una versión del modelo. | - id |
modelRegistry |
updateRegistryWebhook |
Un usuario actualiza un webhook del registro de modelos. | - orgId - webhookId |
Eventos de servicio de modelos
Los siguientes eventos serverlessRealTimeInference
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Un usuario actualiza los permisos para un punto de conexión de inferencia. | - shardName - targetUserId - resourceId - aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Un usuario crea un punto de conexión del servicio de modelos. | - name - config |
serverlessRealTimeInference |
deleteServingEndpoint |
Un usuario elimina un punto de conexión del servicio de modelos. | - name |
serverlessRealTimeInference |
disable |
Un usuario deshabilita el servicio de modelos para un modelo registrado. | - registered_mode_name |
serverlessRealTimeInference |
enable |
Un usuario habilita el servicio de modelos para un modelo registrado. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Los usuarios realizan una llamada para obtener la vista previa del esquema de consulta. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
Un usuario actualiza un punto de conexión del servicio de modelos. | - name - served_models - traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
El usuario actualiza los límites de velocidad de un punto de conexión de inferencia. Los límites de velocidad solo se aplican a los puntos de conexión de modelos externos y de pago por token de las API de Foundation Model. | - name - rate_limits |
Eventos de cuadernos
Los siguientes eventos notebook
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
notebook |
attachNotebook |
Un cuaderno se asocia a un clúster. | - path - clusterId - notebookId |
notebook |
cloneNotebook |
Un usuario clona un cuaderno. | - notebookId - path - clonedNotebookId - destinationPath |
notebook |
createNotebook |
Se crea un cuaderno. | - notebookId - path |
notebook |
deleteFolder |
Se elimina la carpeta de un cuaderno. | - path |
notebook |
deleteNotebook |
Se elimina un cuaderno. | - notebookId - notebookName - path |
notebook |
detachNotebook |
Un cuaderno se desasocia de un clúster. | - notebookId - clusterId - path |
notebook |
downloadLargeResults |
Un usuario descarga los resultados de una consulta que son demasiado grandes para mostrar en el cuaderno. | - notebookId - notebookFullPath |
notebook |
downloadPreviewResults |
Un usuario descarga los resultados de la consulta. | - notebookId - notebookFullPath |
notebook |
importNotebook |
Un usuario importa un cuaderno. | - path |
notebook |
moveFolder |
La carpeta de un cuaderno se mueve de una ubicación a otra. | - oldPath - newPath - folderId |
notebook |
moveNotebook |
Un cuaderno se mueve de una ubicación a otra. | - newPath - oldPath - notebookId |
notebook |
renameNotebook |
Se cambia el nombre de un cuaderno. | - newName - oldName - parentPath - notebookId |
notebook |
restoreFolder |
Se restaura una carpeta eliminada. | - path |
notebook |
restoreNotebook |
Se restaura un cuaderno eliminado. | - path - notebookId - notebookName |
notebook |
runCommand |
Disponible cuando se habilitan los registros de auditoría detallados. Se emite después de que Databricks ejecute un comando en un cuaderno. Un comando corresponde a una celda de un cuaderno.executionTime se mide en segundos. |
- notebookId - executionTime - status - commandId - commandText - commandLanguage |
notebook |
takeNotebookSnapshot |
Las instantáneas de un cuaderno se toman cuando se ejecuta el servicio de trabajo o mlflow. | - path |
Eventos de Partner Connect
Los siguientes eventos partnerHub
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Un administrador del área de trabajo configura una conexión con una solución de asociado. | - partner_name |
partnerHub |
deletePartnerConnection |
Un administrador del área de trabajo elimina una conexión de asociado. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Un administrador del área de trabajo descarga el archivo de conexión de asociado. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Un administrador del área de trabajo configura los recursos para una conexión de asociado. | - partner_name |
Eventos de optimización predictiva
Los siguientes eventos predictiveOptimization
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
predictiveOptimization |
PutMetrics |
Se registra cuando la optimización predictiva actualiza las métricas de tabla y carga de trabajo para que el servicio pueda programar de forma más inteligente las operaciones de optimización. | - table_metrics_list - start_time - end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Un administrador de cuenta habilita o deshabilita la optimización predictiva para un metastore. | - metastore_id - enable |
Eventos de servicio de historial remoto
Los siguientes eventos remoteHistoryService
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
Un usuario agrega credenciales de GitHub. | None |
remoteHistoryService |
deleteUserGitHubCredentials |
Un usuario quita credenciales de GitHub. | None |
remoteHistoryService |
updateUserGitHubCredentials |
Un usuario actualiza credenciales de GitHub. | None |
Eventos de carpeta de Git
Los siguientes eventos repos
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
repos |
checkoutBranch |
Un usuario restaura una rama en el repositorio. | - id - branch |
repos |
commitAndPush |
Un usuario confirma y envía los cambios a un repositorio. | - id - message - files - checkSensitiveToken |
repos |
createRepo |
Un usuario crea un repositorio en el área de trabajo. | - url - provider - path |
repos |
deleteRepo |
Un usuario elimina un repositorio. | - id |
repos |
discard |
Un usuario descarta una confirmación en un repositorio. | - id - file_paths |
repos |
getRepo |
Un usuario realiza una llamada para obtener información sobre un único repositorio. | - id |
repos |
listRepos |
Un usuario realiza una llamada para obtener todos los repositorios en los que tiene permisos de administración. | - path_prefix - next_page_token |
repos |
pull |
Un usuario incorpora los cambios de las confirmaciones más recientes de un repositorio. | - id |
repos |
updateRepo |
Un usuario actualiza el repositorio a otra rama o etiqueta, o a la confirmación más reciente en la misma rama. | - id - branch - tag - git_url - git_provider |
Eventos de secretos
Los siguientes eventos secrets
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
secrets |
createScope |
Un usuario crea un ámbito de secretos. | - scope - initial_manage_principal - scope_backend_type |
secrets |
deleteAcl |
Un usuario elimina las ACL de un ámbito de secretos. | - scope - principal |
secrets |
deleteScope |
Un usuario elimina un ámbito de secretos. | - scope |
secrets |
deleteSecret |
Un usuario elimina un secreto de un ámbito. | - key - scope |
secrets |
getAcl |
Un usuario obtiene las ACL de un ámbito de secretos. | - scope - principal |
secrets |
getSecret |
Un usuario obtiene un secreto de un ámbito. | - key - scope |
secrets |
listAcls |
Un usuario realiza una llamada para enumerar las ACL de un ámbito de secretos. | - scope |
secrets |
listScopes |
Un usuario realiza una llamada para enumerar los ámbitos de secretos. | None |
secrets |
listSecrets |
Un usuario realiza una llamada para enumerar los secretos de un ámbito. | - scope |
secrets |
putAcl |
Un usuario cambia las ACL de un ámbito de secretos. | - scope - principal - permission |
secrets |
putSecret |
Un usuario agrega o edita un secreto dentro de un ámbito. | - string_value - key - scope |
Eventos de acceso a tablas SQL
Nota:
El servicio sqlPermissions
incluye eventos relacionados con el control de acceso de la tabla de metastore de Hive heredado. Databricks le recomienda actualizar las tablas administradas por el metastore de Hive al metastore de Unity Catalog.
Los siguientes eventos sqlPermissions
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Un administrador del área de trabajo o propietario de un objeto transfiere la propiedad del objeto. | - securable - principal |
sqlPermissions |
createSecurable |
Un usuario crea un objeto protegible. | - securable |
sqlPermissions |
denyPermission |
Un propietario del objeto deniega privilegios en un objeto protegible. | - permission |
sqlPermissions |
grantPermission |
Un propietario del objeto concede permiso en un objeto protegible. | - permission |
sqlPermissions |
removeAllPermissions |
Un usuario anula un objeto protegible. | - securable |
sqlPermissions |
renameSecurable |
Un usuario cambia el nombre de un objeto protegible. | - before - after |
sqlPermissions |
requestPermissions |
Un usuario solicita permisos en un objeto protegible. | - requests |
sqlPermissions |
revokePermission |
Un propietario del objeto revoca los permisos en su objeto protegible. | - permission |
sqlPermissions |
showPermissions |
Un usuario ve los permisos de un objeto protegible. | - securable - principal |
Eventos de SSH
Los siguientes eventos ssh
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
ssh |
login |
Inicio de sesión del agente de SSH en el controlador de Spark. | - containerId - userName - port - publicKey - instanceId |
ssh |
logout |
Cierre de sesión del agente de SSH del controlador de Spark. | - userName - containerId - instanceId |
Eventos de búsqueda de vectores
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos vectorSearch
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
vectorSearch |
createEndpoint |
El usuario crea un punto de conexión de búsqueda vectorial. | - name - endpoint_type |
vectorSearch |
deleteEndpoint |
El usuario elimina un punto de conexión de búsqueda vectorial. | - name |
vectorSearch |
createVectorIndex |
El usuario crea un índice de búsqueda vectorial. | - name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
El usuario elimina un índice de búsqueda vectorial. | - name - endpoint_name - delete_embedding_writeback_table |
Eventos de terminal web
Los siguientes eventos webTerminal
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
webTerminal |
startSession |
El usuario inicia una sesión de terminal web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
webTerminal |
closeSession |
El usuario cierra una sesión de terminal web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
Eventos de áreas de trabajo
Los siguientes eventos workspace
se registran en el nivel de área de trabajo.
Service | Nombre de la acción | Descripción | Parámetros de solicitud |
---|---|---|---|
workspace |
changeWorkspaceAcl |
Se cambian los permisos del área de trabajo. | - shardName - targetUserId - aclPermissionSet - resourceId |
workspace |
deleteSetting |
Se elimina una configuración del área de trabajo. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName |
workspace |
fileCreate |
Un usuario crea un archivo en el área de trabajo. | - path |
workspace |
fileDelete |
Un usuario elimina un archivo en el área de trabajo. | - path |
workspace |
fileEditorOpenEvent |
Un usuario abre el editor de archivos. | - notebookId - path |
workspace |
getRoleAssignment |
Un usuario obtiene los roles de usuario de un área de trabajo. | - account_id - workspace_id |
workspace |
mintOAuthAuthorizationCode |
Se registra cuando el código de autorización de OAuth interno se acuña en el nivel de área de trabajo | - client_id |
workspace |
mintOAuthToken |
El token de OAuth se acuña para el área de trabajo | - grant_type - scope - expires_in - client_id |
workspace |
moveWorkspaceNode |
Un administrador de área de trabajo mueve el nodo del área de trabajo. | - destinationPath - path |
workspace |
purgeWorkspaceNodes |
Un administrador de área de trabajo purga los nodos del área de trabajo. | - treestoreId |
workspace |
reattachHomeFolder |
Se vuelve a adjuntar una carpeta principal existente para un usuario que se vuelve a agregar al área de trabajo. | - path |
workspace |
renameWorkspaceNode |
Un administrador de área de trabajo cambia el nombre de los nodos del área de trabajo. | - path - destinationPath |
workspace |
unmarkHomeFolder |
Los atributos especiales de carpeta principal se quitan cuando se quita un usuario del área de trabajo. | - path |
workspace |
updateRoleAssignment |
Un administrador de área de trabajo actualiza el rol de un usuario del área de trabajo. | - account_id - workspace_id - principal_id |
workspace |
updatePermissionAssignment |
Un administrador del área de trabajo agrega una entidad de seguridad al área de trabajo. | - principal_id - permissions |
workspace |
setSetting |
Un administrador de área de trabajo define una configuración del área de trabajo. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
workspace |
workspaceConfEdit |
Un administrador del área de trabajo realiza actualizaciones en una configuración, por ejemplo, habilitando los registros de auditoría detallados. | - workspaceConfKeys - workspaceConfValues |
workspace |
workspaceExport |
Un usuario exporta un cuaderno de un área de trabajo. | - workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
El cliente de OAuth se autentica en el servicio del área de trabajo | - user |
Eventos de uso facturables
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos accountBillableUsage
se registran en el nivel de cuenta.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
El usuario ha accedido al uso facturable agregado (uso por día) de la cuenta a través de la característica Grafo de uso. | - account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
El usuario ha accedido al uso facturable agregado (uso por cada clúster) de la cuenta a través de la característica Descarga de uso. | - account_id - start_month - end_month - with_pii |
Eventos de cuentas de nivel de cuenta
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos accounts
se registran en el nivel de cuenta.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Se autentica un cliente de OAuth. | - endpoint |
accounts |
accountIpAclsValidationFailed |
Error de validación de permisos de dirección IP. Devuelve statusCode 403. | - sourceIpAddress - user : se registra como una dirección de correo electrónico |
accounts |
activateUser |
Un usuario se reactiva después de desactivarse. Consulte la sección sobre cómo desactivar usuarios en la cuenta. | - targetUserName - endpoint - targetUserId |
accounts |
add |
Se agrega un usuario a la cuenta de Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Se agrega un usuario a un grupo de nivel de cuenta. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
addPrincipalsToGroup |
Los usuarios se agregan a un grupo de nivel de cuenta mediante el aprovisionamiento de SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
createGroup |
Se crea un grupo de nivel de cuenta. | - endpoint - targetGroupId - targetGroupName |
accounts |
deactivateUser |
Se desactiva un usuario. Consulte la sección sobre cómo desactivar usuarios en la cuenta. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Se elimina un usuario de la cuenta de Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteSetting |
El administrador de cuenta quita una configuración de la cuenta de Azure Databricks. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
garbageCollectDbToken |
Un usuario ejecuta un comando de recolección de elementos no utilizados en tokens expirados. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
El usuario genera un token desde la configuración de usuario o cuando el servicio genera el token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
login |
Un usuario inicia sesión en la consola de la cuenta. | - user |
accounts |
logout |
Un usuario cierra la sesión de la consola de la cuenta. | - user |
accounts |
oidcBrowserLogin |
Un usuario inicia sesión en su cuenta con el flujo de trabajo del explorador de OpenID Connect. | - user |
accounts |
oidcTokenAuthorization |
Se autentica un token de OIDC para un inicio de sesión de administrador de cuenta. | - user |
accounts |
removeAccountAdmin |
Un administrador de cuenta quita los permisos de administrador de cuenta de otro usuario. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Se quita un grupo de la cuenta. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
Se quita un usuario de un grupo de nivel de cuenta. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
removePrincipalsFromGroup |
Los usuarios se quitan de un grupo de nivel de cuenta mediante el aprovisionamiento de SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
setAccountAdmin |
Un administrador de cuenta asigna el rol de administrador de cuenta a otro usuario. | - targetUserName - endpoint - targetUserId |
accounts |
setSetting |
Un administrador de cuenta actualiza una configuración de nivel de cuenta. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
tokenLogin |
Un usuario inicia sesión en Databricks mediante un token. | - tokenId - user |
accounts |
updateUser |
Un administrador de cuenta actualiza una cuenta de usuario. | - targetUserName - endpoint - targetUserId |
accounts |
updateGroup |
Un administrador de cuenta actualiza un grupo de nivel de cuenta. | - endpoint - targetGroupId - targetGroupName |
accounts |
validateEmail |
Cuando un usuario valida su correo electrónico después de la creación de la cuenta. | - endpoint - targetUserName - targetUserId |
Eventos de control de acceso de nivel de cuenta
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
El siguiente evento accountsAccessControl
se registra en el nivel de cuenta.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
accountsAccessControl |
updateRuleSet |
Cuando se cambia un conjunto de reglas. | - account_id - name - rule_set |
Eventos de administración de cuentas
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos accountsManager
se registran en el nivel de cuenta. Estos eventos tienen que ver con las configuraciones realizadas por los administradores de cuentas en la consola de la cuenta.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
El administrador de la cuenta creó una configuración de conectividad de red. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
El administrador de la cuenta solicita detalles sobre una configuración de conectividad de red. | - account_id - network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
El administrador de la cuenta enumera todas las configuraciones de conectividad de red de la cuenta. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
El administrador de la cuenta eliminó una configuración de conectividad de red. | - account_id - network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
El administrador de la cuenta creó una regla de punto de conexión privado. | - account_id - network_connectivity_config_id - azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
El administrador de la cuenta solicita detalles sobre una regla de punto de conexión privado. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
El administrador de la cuenta enumera todas las reglas de punto de conexión privado en una configuración de conectividad de red. | - account_id - network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
El administrador de la cuenta eliminó una regla de punto de conexión privado. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
El administrador de la cuenta actualizó una regla de punto de conexión privado. | - account_id - network_connectivity_config_id - rule_id - azure_private_endpoint_rule |
Eventos de directiva de presupuesto
Los siguientes budgetPolicyCentral
eventos se registran en el nivel de cuenta y están relacionados con las directivas de presupuesto. Consulte Attribute serverless usage with budget policies (Uso sin servidor de atributos con directivas de presupuesto).
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
El administrador del área de trabajo o el administrador de facturación crean una directiva de presupuesto. El nuevo policy_id se registra en la response columna . |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
El administrador del área de trabajo, el administrador de facturación o el administrador de directivas actualizan una directiva de presupuesto. | - policy.policy_id - policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
El administrador del área de trabajo, el administrador de facturación o el administrador de directivas elimina una directiva de presupuesto. | - policy_id |
Eventos de Unity Catalog
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los siguientes eventos de diagnóstico están relacionados con Unity Catalog. Los eventos de Delta Sharing también se registran en el servicio unityCatalog
. Para ver los eventos de Delta Sharing, consulte eventos de Delta Sharing. Los eventos de auditoría de Unity Catalog se pueden registrar en el nivel de área de trabajo o en el nivel de cuenta en función del evento.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
unityCatalog |
createMetastore |
Un administrador de la cuenta crea un metastore. | - name - storage_root - workspace_id - metastore_id |
unityCatalog |
getMetastore |
Un administrador de la cuenta solicita el identificador de un metastore. | - id - workspace_id - metastore_id |
unityCatalog |
getMetastoreSummary |
Un administrador de la cuenta solicita detalles sobre un metastore. | - workspace_id - metastore_id |
unityCatalog |
listMetastores |
Un administrador de la cuenta solicita una lista de todos los metastores de una cuenta. | - workspace_id |
unityCatalog |
updateMetastore |
Un administrador de la cuenta realiza una actualización en un metastore. | - id - owner - workspace_id - metastore_id |
unityCatalog |
deleteMetastore |
Un administrador de la cuenta elimina un metastore. | - id - force - workspace_id - metastore_id |
unityCatalog |
updateMetastoreAssignment |
Un administrador de la cuenta realiza una actualización en la asignación del área de trabajo de un metastore. | - workspace_id - metastore_id - default_catalog_name |
unityCatalog |
createExternalLocation |
Un administrador de la cuenta crea una ubicación externa. | - name - skip_validation - url - credential_name - workspace_id - metastore_id |
unityCatalog |
getExternalLocation |
Un administrador de la cuenta solicita detalles sobre una ubicación externa. | - name_arg - include_browse - workspace_id - metastore_id |
unityCatalog |
listExternalLocations |
Un administrador de la cuenta solicita una lista de todas las ubicaciones externas de una cuenta. | - url - max_results - workspace_id - metastore_id |
unityCatalog |
updateExternalLocation |
Un administrador de la cuenta realiza una actualización en una ubicación externa. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteExternalLocation |
Un administrador de la cuenta elimina una ubicación externa. | - name_arg - force - workspace_id - metastore_id |
unityCatalog |
createCatalog |
Un usuario crea un catálogo. | - name - comment - workspace_id - metastore_id |
unityCatalog |
deleteCatalog |
Un usuario elimina un catálogo. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getCatalog |
Un usuario solicita detalles sobre un catálogo. | - name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
updateCatalog |
Un usuario actualiza un catálogo. | - name_arg - isolation_mode - comment - workspace_id - metastore_id |
unityCatalog |
listCatalog |
Un usuario realiza una llamada para enumerar todos los catálogos del metastore. | - name_arg - workspace_id - metastore_id |
unityCatalog |
createSchema |
Un usuario crea un esquema. | - name - catalog_name - comment - workspace_id - metastore_id |
unityCatalog |
deleteSchema |
Un usuario elimina un esquema. | - full_name_arg - force - workspace_id - metastore_id |
unityCatalog |
getSchema |
Un usuario solicita detalles sobre un esquema. | - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
listSchema |
Un usuario solicita una lista de todos los esquemas de un catálogo. | - catalog_name |
unityCatalog |
updateSchema |
Un usuario actualiza un esquema. | - full_name_arg - name - workspace_id - metastore_id - comment |
unityCatalog |
createStagingTable |
- name - catalog_name - schema_name - workspace_id - metastore_id |
|
unityCatalog |
createTable |
Un usuario crea una tabla. Los parámetros de solicitud difieren en función del tipo de tabla creado. | - name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment |
unityCatalog |
deleteTable |
Un usuario elimina una tabla. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
getTable |
Un usuario solicita detalles sobre una tabla. | - include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
Un usuario realiza una llamada para enumerar todas las tablas de un esquema. | - catalog_name - schema_name - workspace_id - metastore_id - include_browse |
unityCatalog |
listTableSummaries |
Un usuario obtiene una matriz de resúmenes de tablas para un esquema y un catálogo del metastore. | - catalog_name - schema_name_pattern - workspace_id - metastore_id |
unityCatalog |
updateTables |
Un usuario realiza una actualización en una tabla. Los parámetros de solicitud que se muestran varían en función del tipo de actualizaciones de tabla realizadas. | - full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id |
unityCatalog |
createStorageCredential |
Un administrador de la cuenta crea una credencial de almacenamiento. Es posible que vea un parámetro de solicitud adicional en función de las credenciales del proveedor de nube. | - name - comment - workspace_id - metastore_id |
unityCatalog |
listStorageCredentials |
Un administrador de la cuenta realiza una llamada para enumerar todas las credenciales de almacenamiento de la cuenta. | - workspace_id - metastore_id |
unityCatalog |
getStorageCredential |
Un administrador de la cuenta solicita detalles sobre una credencial de almacenamiento. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateStorageCredential |
Un administrador de la cuenta realiza una actualización en una credencial de almacenamiento. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteStorageCredential |
Un administrador de la cuenta elimina una credencial de almacenamiento. | - name_arg - workspace_id - metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Se registra cada vez que se concede una credencial temporal para una tabla. Puede usar este evento para determinar quién ha consultado qué y cuándo. | - credential_id - credential_type - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Se registra cada vez que se concede una credencial temporal para una ruta de acceso. | - url - operation - make_path_only_parent - workspace_id - metastore_id |
unityCatalog |
getPermissions |
Un usuario realiza una llamada para obtener detalles de permisos de un objeto protegible. Esta llamada no devuelve permisos heredados, solo permisos asignados explícitamente. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getEffectivePermissions |
Un usuario realiza una llamada para obtener todos los detalles de permisos de un objeto protegible. Una llamada de permisos efectiva devuelve permisos asignados explícitamente y heredados. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
updatePermissions |
Un usuario actualiza permisos en un objeto protegible. | - securable_type - changes - securable_full_name - workspace_id - metastore_id |
unityCatalog |
metadataSnapshot |
Un usuario consulta los metadatos de una versión de tabla anterior. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
Un usuario consulta los metadatos y permisos de una versión de tabla anterior. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
updateMetadataSnapshot |
Un usuario actualiza los metadatos de una versión de tabla anterior. | - table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id |
unityCatalog |
getForeignCredentials |
Un usuario realiza una llamada para obtener detalles sobre una clave externa. | - securables - workspace_id - metastore_id |
unityCatalog |
getInformationSchema |
Un usuario realiza una llamada para obtener detalles sobre un esquema. | - table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id |
unityCatalog |
createConstraint |
Un usuario crea una restricción para una tabla. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
deleteConstraint |
Un usuario elimina una restricción para una tabla. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
createPipeline |
Un usuario crea una canalización de Unity Catalog. | - target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id |
unityCatalog |
updatePipeline |
Un usuario actualiza una canalización de Unity Catalog. | - id_arg - definition_json - id - workspace_id - metastore_id |
unityCatalog |
getPipeline |
Un usuario solicita detalles sobre una canalización de Unity Catalog. | - id - workspace_id - metastore_id |
unityCatalog |
deletePipeline |
Un usuario elimina una canalización de Unity Catalog. | - id - workspace_id - metastore_id |
unityCatalog |
deleteResourceFailure |
Un recurso no puede eliminarse. | None |
unityCatalog |
createVolume |
El usuario crea un volumen de Unity Catalog. | - name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id |
unityCatalog |
getVolume |
El usuario realiza una llamada para obtener información sobre un volumen de Unity Catalog. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
updateVolume |
El usuario actualiza los metadatos de un volumen de Unity Catalog con las llamadas ALTER VOLUME o COMMENT ON . |
- volume_full_name - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteVolume |
El usuario elimina un volumen de Unity Catalog. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
listVolumes |
El usuario realiza una llamada para obtener una lista de todos los volúmenes de Unity Catalog en un esquema. | - catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Se genera una credencial temporal cuando un usuario realiza una lectura o escritura en un volumen. Puede usar este evento para determinar quién ha accedido a un volumen y cuándo. | - volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
getTagSecurableAssignments |
Se capturan las asignaciones de etiquetas para un elemento protegible | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getTagSubentityAssignments |
Se capturan las asignaciones de etiquetas para una subentidad | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Se actualizan las asignaciones de etiquetas para un elemento protegible | - securable_type - securable_full_name - workspace_id - metastore_id - changes |
unityCatalog |
UpdateTagSubentityAssignments |
Se actualizan las asignaciones de etiquetas para una subentidad | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes |
unityCatalog |
createRegisteredModel |
El usuario crea un modelo registrado en Unity Catalog. | - name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id |
unityCatalog |
getRegisteredModel |
El usuario realiza una llamada para obtener información sobre un modelo registrado en Unity Catalog. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
updateRegisteredModel |
El usuario actualiza los metadatos de un modelo registrado en Unity Catalog. | - full_name_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteRegisteredModel |
El usuario elimina un modelo registrado en Unity Catalog. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
listRegisteredModels |
El usuario realiza una llamada para obtener una lista de los modelos registrados en el Unity Catalog en un esquema, o una lista de los modelos a través de catálogos y esquemas. | - catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
createModelVersion |
El usuario crea una versión de modelo en el catálogo de Unity. | - catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id |
unityCatalog |
finalizeModelVersion |
El usuario realiza una llamada para "finalizar" una versión del modelo de Unity Catalog después de cargar los archivos de la versión del modelo en su ubicación de almacenamiento, haciéndola de solo lectura y utilizable en flujos de trabajo de inferencia. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersion |
El usuario realiza una llamada para obtener detalles sobre una versión del modelo. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersionByAlias |
El usuario realiza una llamada para obtener detalles sobre una versión del modelo mediante el alias. | - full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id |
unityCatalog |
updateModelVersion |
El usuario actualiza los metadatos de una versión del modelo. | - full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteModelVersion |
El usuario elimina una versión del modelo. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
listModelVersions |
El usuario realiza una llamada para obtener una lista de versiones del modelo de Unity Catalog en un modelo registrado. | - catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Se genera una credencial temporal cuando un usuario realiza una escritura (durante la creación inicial de la versión del modelo) o una lectura (una vez finalizada la versión del modelo) en una versión del modelo. Puede utilizar este evento para determinar quién accedió a una versión del modelo y cuándo. | - full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
setRegisteredModelAlias |
El usuario establece un alias en un modelo registrado de Unity Catalog. | - full_name_arg - alias_arg - version |
unityCatalog |
deleteRegisteredModelAlias |
El usuario elimina un alias en un modelo registrado de Unity Catalog. | - full_name_arg - alias_arg |
unityCatalog |
getModelVersionByAlias |
El usuario obtiene una versión del modelo de Unity Catalog por alias. | - full_name_arg - alias_arg |
unityCatalog |
createConnection |
Se crea una nueva conexión externa. | - name - connection_type - workspace_id - metastore_id |
unityCatalog |
deleteConnection |
Se elimina una conexión externa. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getConnection |
Se recupera una conexión externa. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateConnection |
Se actualiza una conexión externa. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listConnections |
Se muestran las conexiones externas en un metastore. | - workspace_id - metastore_id |
unityCatalog |
createFunction |
El usuario crea una nueva función. | - function_info - workspace_id - metastore_id |
unityCatalog |
updateFunction |
El usuario actualiza una función. | - full_name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listFunctions |
El usuario solicita una lista de todas las funciones dentro de un esquema o catálogo primario específico. | - catalog_name - schema_name - include_browse - workspace_id - metastore_id |
unityCatalog |
getFunction |
El usuario solicita una función desde un catálogo o esquema primarios. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
deleteFunction |
El usuario solicita una función desde un catálogo o esquema primarios. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos - metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos - metastore_id |
Eventos de Delta Sharing
Nota:
Este servicio no está disponible a través de la configuración de diagnóstico de Azure. Habilite la tabla del sistema de registro de auditoría para acceder a estos eventos.
Los eventos de Delta Sharing se dividen en dos secciones: los eventos registrados en la cuenta del proveedor de datos y los registrados en la cuenta del destinatario de datos.
Eventos del proveedor de Delta Sharing
Los siguientes eventos de registro de auditoría se registran en la cuenta del proveedor. Las acciones que realizan los destinatarios comienzan con el prefijo deltaSharing
. Cada uno de estos registros también incluye request_params.metastore_id
, que es el metastore que administra los datos compartidos, y userIdentity.email
, que es el identificador del usuario que inició la actividad.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
unityCatalog |
deltaSharingListShares |
Un destinatario de datos solicita una lista de recursos compartidos. | - options : opciones de paginación proporcionadas con esta solicitud.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingGetShare |
Un destinatario de datos solicita detalles sobre un recurso compartido. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListSchemas |
Un destinatario de datos solicita una lista de esquemas compartidos. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- options : opciones de paginación proporcionadas con esta solicitud.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListAllTables |
Un destinatario de datos solicita una lista de todas las tablas compartidas. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListTables |
Un destinatario de datos solicita una lista de tablas compartidas. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- options : opciones de paginación proporcionadas con esta solicitud.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingGetTableMetadata |
Un destinatario de datos solicita detalles sobre los metadatos de una tabla. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- schema : nombre del esquema.- name : nombre de la tabla.- predicateHints : predicados incluidos en la consulta.- limitHints : número máximo de filas que se devolverán.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingGetTableVersion |
Un destinatario de datos solicita detalles sobre una versión de tabla. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- schema : nombre del esquema.- name : nombre de la tabla.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingQueryTable |
Se registra cuando un destinatario de datos consulta una tabla compartida. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- schema : nombre del esquema.- name : nombre de la tabla.- predicateHints : predicados incluidos en la consulta.- limitHints : número máximo de filas que se devolverán.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingQueryTableChanges |
Se registra cuando un destinatario de datos consulta los datos modificados de una tabla. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- schema : nombre del esquema.- name : nombre de la tabla.- cdf_options :para cambiar las opciones de fuente de distribución de datos.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingQueriedTable |
Se registra después de que un destinatario de datos obtenga una respuesta a su consulta. El campo response.result incluye más información sobre la consulta del destinatario (consulte Auditar y supervisar el uso compartido de datos) |
- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingQueriedTableChanges |
Se registra después de que un destinatario de datos obtenga una respuesta a su consulta. El campo response.result incluye más información sobre la consulta del destinatario (consulte Auditar y supervisar el uso compartido de datos). |
- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListNotebookFiles |
Un destinatario de datos solicita una lista de archivos de bloc de notas compartidos. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingQueryNotebookFile |
Un destinatario de datos consulta un archivo de cuaderno compartido. | - file_name : el nombre del archivo de cuaderno.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListFunctions |
Un destinatario de datos solicita una lista de funciones en un esquema primario. | - share : el nombre del recurso compartido.- schema : el nombre del esquema primario de la función.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListAllFunctions |
Un destinatario de datos solicita una lista de todas las funciones compartidas. | - share : el nombre del recurso compartido.- schema : el nombre del esquema primario de la función.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListFunctionVersions |
Un destinatario de datos solicita una lista de versiones de función. | - share : el nombre del recurso compartido.- schema : el nombre del esquema primario de la función.- function : el nombre de la función.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListVolumes |
Un destinatario de datos solicita una lista de volúmenes compartidos en un esquema. | - share : el nombre del recurso compartido.- schema : esquema primario de los volúmenes.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
deltaSharingListAllVolumes |
Un destinatario de datos solicita todos los volúmenes compartidos. | - share : el nombre del recurso compartido.- recipient_name : indica el destinatario que ejecuta la acción.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, se obtiene true si se denegó la solicitud y false si no se denegó la solicitud. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
updateMetastore |
El proveedor actualiza su metastore. | - delta_sharing_scope : los valores se pueden INTERNAL o INTERNAL_AND_EXTERNAL .- delta_sharing_recipient_token_lifetime_in_seconds : si está presente, indica que se actualizó la duración del token del destinatario. |
unityCatalog |
createRecipient |
El proveedor crea un destinatario de datos. | - name : el nombre del destinatario.- comment : el comentario del destinatario.- ip_access_list.allowed_ip_addresses: Lista de direcciones IP de destinatario permitidas. |
unityCatalog |
deleteRecipient |
El proveedor elimina un destinatario de datos. | - name : el nombre del destinatario. |
unityCatalog |
getRecipient |
El proveedor solicita detalles sobre un destinatario de datos. | - name : el nombre del destinatario. |
unityCatalog |
listRecipients |
El proveedor solicita una lista de todos los destinatarios de datos. | None |
unityCatalog |
rotateRecipientToken |
El proveedor gira un token del destinatario. | - name : el nombre del destinatario.- comment : el comentario que se da en el comando de rotación. |
unityCatalog |
updateRecipient |
El proveedor actualiza los atributos de un destinatario de datos. | - name : el nombre del destinatario.- updates : representación JSON de los atributos del destinatario que se agregaron o quitaron del recurso compartido. |
unityCatalog |
createShare |
El proveedor actualiza los atributos de un destinatario de datos. | - name : el nombre del recurso compartido.- comment : el comentario del recurso compartido. |
unityCatalog |
deleteShare |
El proveedor actualiza los atributos de un destinatario de datos. | - name : el nombre del recurso compartido. |
unityCatalog |
getShare |
El proveedor solicita detalles sobre un recurso compartido. | - name : el nombre del recurso compartido.- include_shared_objects : si los nombres de tabla del recurso compartido se incluyeron en la solicitud. |
unityCatalog |
updateShare |
El proveedor agrega o quita recursos de datos de un recurso compartido. | - name : el nombre del recurso compartido.- updates : una representación JSON de los recursos de datos que se agregaron o quitaron del recurso compartido. Cada elemento incluye action (agregar o quitar), name (el nombre real de la tabla), shared_as (el nombre del recurso se compartió como, si es diferente del nombre real) y partition_specification (si se proporcionó una especificación de partición). |
unityCatalog |
listShares |
El proveedor solicita una lista de sus recursos compartidos. | None |
unityCatalog |
getSharePermissions |
El proveedor solicita detalles sobre los permisos de un recurso compartido. | - name : el nombre del recurso compartido. |
unityCatalog |
updateSharePermissions |
El proveedor actualiza los permisos de un recurso compartido. | - name : el nombre del recurso compartido.- changes : una representación JSON de los permisos actualizados. Cada cambio incluye principal (el usuario o grupo al que se concede o revoca el permiso), add (la lista de permisos concedidos) y remove (la lista de permisos revocados). |
unityCatalog |
getRecipientSharePermissions |
El proveedor solicita detalles sobre los permisos de recurso compartido de un destinatario. | - name : el nombre del recurso compartido. |
unityCatalog |
getActivationUrlInfo |
El proveedor solicita detalles sobre la actividad en su vínculo de activación. | - recipient_name : el nombre del destinatario que abrió la dirección URL de activación.- is_ip_access_denied : ninguno si no hay ninguna lista de acceso de IP configurada. De lo contrario, true si se denegó la solicitud y false si no se denegó. sourceIPaddress es la dirección IP del destinatario. |
unityCatalog |
generateTemporaryVolumeCredential |
Se genera una credencial temporal para que el destinatario acceda a un volumen compartido. | - share_name : El nombre del recurso compartido a través del cual se solicita el destinatario.- share_id : El identificador del recurso compartido.- share_owner : El propietario del recurso compartido.- recipient_name : El nombre del destinatario que solicita la credencial.- recipient_id : El identificador del destinatario.- volume_full_name : El nombre completo de 3 niveles del volumen.- volume_id : El identificador del volumen.- volume_storage_location : La ruta de acceso a la nube de la raíz del volumen.- operation : READ_VOLUME o WRITE_VOLUME . En el caso del uso compartido de volúmenes, solo se admite READ_VOLUME .- credential_id : El identificador de la credencial.- credential_type : El tipo de la credencial. El valor es siempre StorageCredential .- workspace_id : el valor siempre es 0 cuando la solicitud es para volúmenes compartidos. |
unityCatalog |
generateTemporaryTableCredential |
Se genera una credencial temporal para que el destinatario acceda a una tabla compartida. | - share_name : El nombre del recurso compartido a través del cual se solicita el destinatario.- share_id : El identificador del recurso compartido.- share_owner : El propietario del recurso compartido.- recipient_name : El nombre del destinatario que solicita la credencial.- recipient_id : El identificador del destinatario.- table_full_name : el nombre completo de 3 niveles de la tabla.- table_id : el identificador de la tabla.- table_url : ruta de acceso a la nube de la raíz de la tabla.- operation : READ o READ_WRITE .- credential_id : El identificador de la credencial.- credential_type : El tipo de la credencial. El valor es siempre StorageCredential .- workspace_id : el valor siempre es 0 cuando la solicitud es para tablas compartidas. |
Eventos de destinatarios de Delta Sharing
Los siguientes eventos se registran en la cuenta del destinatario de datos. Estos eventos registran el acceso de destinatarios de los recursos de inteligencia artificial y datos compartidos, junto con eventos asociados a la administración de proveedores. Cada uno de estos eventos también incluye los siguientes parámetros de solicitud:
recipient_name
: nombre del destinatario en el sistema del proveedor de datos.metastore_id
: nombre del metastore en el sistema del proveedor de datos.sourceIPAddress
: dirección IP remota donde se originó la solicitud.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Un destinatario de datos solicita detalles sobre una versión de tabla compartida. | - share : el nombre del recurso compartido.- schema : nombre del esquema principal de la tabla.- name : nombre de la tabla. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Un destinatario de datos solicita detalles sobre los metadatos de una tabla compartida. | - share : el nombre del recurso compartido.- schema : nombre del esquema principal de la tabla.- name : nombre de la tabla. |
unityCatalog |
deltaSharingProxyQueryTable |
Un destinatario de datos consulta una tabla compartida. | - share : el nombre del recurso compartido.- schema : nombre del esquema principal de la tabla.- name : nombre de la tabla.- limitHints : número máximo de filas que se devolverán.- predicateHints : predicados incluidos en la consulta.- version : versión de tabla, si el cambio de fuente de distribución de datos está habilitado. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Un destinatario de datos consulta los datos modificados de una tabla. | - share : el nombre del recurso compartido.- schema : nombre del esquema principal de la tabla.- name : nombre de la tabla.- cdf_options : opciones de cambio de fuente de distribución de datos. |
unityCatalog |
createProvider |
Un destinatario de datos crea un objeto de proveedor. | - name : nombre del proveedor.- comment : comentario para el proveedor. |
unityCatalog |
updateProvider |
Un destinatario de datos actualiza un objeto de proveedor. | - name : nombre del proveedor.- updates : representación JSON de los atributos del proveedor que se agregaron o quitaron del recurso compartido. Cada elemento incluye action (agregar o quitar) y puede incluir name (el nuevo nombre del proveedor), owner (nuevo propietario) y comment . |
unityCatalog |
deleteProvider |
Un destinatario de datos elimina un objeto de proveedor. | - name : nombre del proveedor. |
unityCatalog |
getProvider |
Un destinatario de datos solicita detalles sobre un objeto de proveedor. | - name : nombre del proveedor. |
unityCatalog |
listProviders |
Un destinatario de datos solicita una lista de proveedores. | None |
unityCatalog |
activateProvider |
Un destinatario de datos activa un objeto de proveedor. | - name : nombre del proveedor. |
unityCatalog |
listProviderShares |
Un destinatario de datos solicita una lista de recursos compartidos de un proveedor. | - name : nombre del proveedor. |
unityCatalog |
generateTemporaryVolumeCredential |
Se genera una credencial temporal para que el destinatario acceda a un volumen compartido. | - share_name : El nombre del recurso compartido a través del cual se solicita el destinatario.- volume_full_name : El nombre completo de 3 niveles del volumen.- volume_id : identificador del volumen.- operation : READ_VOLUME o WRITE_VOLUME . Para el uso compartido del volumen, solo se admite READ_VOLUME .- workspace_id : identificador del área de trabajo que recibe la solicitud del usuario. |
unityCatalog |
generateTemporaryTableCredential |
Se genera una credencial temporal para que el destinatario acceda a una tabla compartida. | - share_name : El nombre del recurso compartido a través del cual se solicita el destinatario.- table_full_name : el nombre completo de 3 niveles de la tabla.- table_id : el identificador de la tabla.- operation : READ o READ_WRITE .- workspace_id : identificador del área de trabajo que recibe la solicitud del usuario. |
Eventos de supervisión de seguridad adicionales
En el caso de los recursos de proceso de Azure Databricks en el plano de proceso clásico, como máquinas virtuales para clústeres y almacenamientos de SQL profesionales o clásicos, las siguientes características habilitan agentes de supervisión adicionales:
- Supervisión de seguridad mejorada
- Perfil de seguridad de cumplimiento. El perfil de seguridad de cumplimiento es necesario para los controles de cumplimiento para PCI-DSS.
Eventos de supervisión de integridad de archivos
Los siguientes eventos capsule8-alerts-dataplane
se registran en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Un evento normal para confirmar que el monitor está activado. Actualmente se ejecuta cada 10 minutos. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
La memoria suele marcarse como ejecutable para permitir que se ejecute código malintencionado cuando se aprovecha una aplicación. Alerta cuando un programa establece permisos de montón o memoria de pila en ejecutable. Esto puede provocar falsos positivos para determinados servidores de aplicaciones. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Supervisa la integridad de los archivos importantes del sistema. Alerta sobre cualquier cambio no autorizado en esos archivos. Databricks define conjuntos específicos de rutas de acceso del sistema en la imagen y este conjunto de rutas de acceso podría cambiar con el tiempo. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Los cambios en las unidades del sistema podrían provocar que los controles de seguridad se relajen o se deshabiliten, o instalar un servicio malintencionado. Alerta cada vez que un archivo unitario systemd es modificado por un programa distinto a systemctl . |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Los bloqueos repetidos del programa podrían indicar que un atacante está intentando aprovechar una vulnerabilidad de daños en la memoria o que hay un problema de estabilidad en la aplicación afectada. Alerta cuando más de 5 instancias de un programa individual se bloquean a través de un error de segmentación. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Dado que los contenedores suelen ser cargas de trabajo estáticas, esta alerta podría indicar que un atacante ha puesto en peligro el contenedor y está intentando instalar y ejecutar una puerta trasera. Alerta cuando un archivo que se ha creado o modificado en un plazo de 30 minutos se ejecuta en un contenedor. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
La memoria suele marcarse como ejecutable para permitir que se ejecute código malintencionado cuando se aprovecha una aplicación. Alerta cuando un programa establece permisos de montón o memoria de pila en ejecutable. Esto puede provocar falsos positivos para determinados servidores de aplicaciones. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Los shells interactivos son raras apariciones en la infraestructura de producción moderna. Alerta cuando se inicia un shell interactivo con argumentos que se usan habitualmente para los shells inversos. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Evadir el registro de comandos es una práctica común para los atacantes, pero también podría indicar que un usuario legítimo está realizando acciones no autorizadas o intenta evadir la directiva. Alerta cuando se detecta un cambio en el registro del historial de comandos de usuario, lo que indica que un usuario está intentando evadir el registro de comandos. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Detecta algunos tipos de puertas traseras del kernel. La carga de un nuevo programa de filtro de paquetes de Berkeley (BPF) podría indicar que un atacante está cargando un rootkit basado en BPF para obtener persistencia y evitar la detección. Alerta cuando un proceso carga un nuevo programa BPF con privilegios, si el proceso ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Los atacantes suelen cargar módulos de kernel malintencionados (rootkits) para evadir la detección y mantener la persistencia en un nodo en peligro. Alerta cuando se carga un módulo de kernel, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Los atacantes podrían crear o cambiar el nombre de los archivos binarios malintencionados para incluir un espacio al final del nombre en un esfuerzo por suplantar un programa o servicio legítimos del sistema. Alerta cuando se ejecuta un programa con un espacio después del nombre del programa. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Las vulnerabilidades de escalación de privilegios de kernel suelen permitir que un usuario sin privilegios obtenga privilegios raíz sin pasar las puertas estándar para los cambios de privilegios. Alerta cuando un programa intenta elevar privilegios a través de medios inusuales. Esto puede emitir alertas de falsos positivos en los nodos con cargas de trabajo significativas. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Las funciones kernel internas no son accesibles para los programas normales y, si se llama, son un indicador seguro de que se ha ejecutado una vulnerabilidad de seguridad del kernel y que el atacante tiene control total del nodo. Alerta cuando una función kernel vuelve inesperadamente al espacio del usuario. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP y SMAP son protecciones de nivel de procesador que aumentan la dificultad para que las vulnerabilidades de seguridad del kernel se realicen correctamente y deshabilitar estas restricciones es un paso temprano común en las vulnerabilidades de seguridad del kernel. Alerta cuando un programa manipula la configuración de SMEP/SMAP del kernel. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Alerta cuando un programa usa funciones kernel que se usan habitualmente en vulnerabilidades de seguridad de escape de contenedor, lo que indica que un atacante está escalando los privilegios del acceso de contenedor al acceso de nodo. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Los contenedores con privilegios tienen acceso directo a los recursos de host, lo que provoca un mayor impacto cuando se pone en peligro. Alerta cuando se inicia un contenedor con privilegios si el contenedor no es una imagen con privilegios conocida como kube-proxy. Esto puede emitir alertas no deseadas para contenedores con privilegios legítimos. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Muchos escapes de contenedor coaccionan al host para ejecutar un binario en contenedor, lo que da lugar a que el atacante obtenga control total del nodo afectado. Alerta cuando se ejecuta un archivo creado por un contenedor desde fuera de un contenedor. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
La modificación de ciertos atributos de AppArmor solo puede producirse en el kernel, lo que indica que AppArmor se ha deshabilitado mediante una vulnerabilidad de seguridad del kernel o rootkit. Alerta cuando se cambia el estado de AppArmor desde la configuración de AppArmor detectada cuando se inicia el sensor. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Los atacantes pueden intentar deshabilitar la aplicación de perfiles de AppArmor como parte de la detección de evasión. Alerta cuando se ejecuta un comando para modificar un perfil de AppArmor, si un usuario no lo ejecutó en una sesión SSH. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Si no lo realiza un origen de confianza (como un administrador de paquetes o una herramienta de administración de configuración), la modificación de los archivos de arranque podría indicar que un atacante modifica el kernel o sus opciones para obtener acceso persistente a un host. Alerta cuando se realizan cambios en los archivos de /boot , lo que indica la instalación de una nueva configuración de arranque o kernel. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
La eliminación de registros no realizada por una herramienta de administración de registros podría indicar que un atacante está intentando quitar indicadores de riesgo. Alerta sobre la eliminación de archivos de registro del sistema. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
Los archivos recién creados a partir de orígenes distintos de los programas de actualización del sistema pueden ser puertas traseras, vulnerabilidades de seguridad del kernel o parte de una cadena de explotación. Alerta cuando se ejecuta un archivo que se ha creado o modificado en un plazo de 30 minutos, excepto los archivos creados por los programas de actualización del sistema. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
La modificación del almacén de certificados raíz podría indicar la instalación de una entidad de certificación no autorizada, lo que permite la interceptación del tráfico de red o la omisión de la comprobación de la firma de código. Alerta cuando se cambia un almacén de certificados de entidad de certificación del sistema. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Establecer bits setuid/setgid se puede usar para proporcionar un método persistente para la elevación de privilegios en un nodo. Alerta cuando el bit setuid o setgid se establece en un archivo con la familia de llamadas del sistema chmod . |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Los atacantes suelen crear archivos ocultos como medio para ocultar herramientas y cargas en un host en peligro. Alerta cuando un proceso asociado a un incidente en curso crea un archivo oculto. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Los atacantes podrían modificar las utilidades del sistema para ejecutar cargas malintencionadas cada vez que se ejecutan estas utilidades. Alerta cuando un proceso no autorizado modifica una utilidad del sistema común. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Un atacante o un usuario no autorizado podría usar o instalar estos programas para encuestar las redes conectadas para que se pongan en peligro nodos adicionales. Alerta cuando se ejecutan herramientas comunes del programa de examen de red. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Los atacantes podrían iniciar un nuevo servicio de red para proporcionar fácil acceso a un host después de ponerlo en peligro. Alerta cuando un programa inicia un nuevo servicio de red, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Un atacante o un usuario no autorizado podría ejecutar comandos de detección de red para capturar credenciales, información de identificación personal (PII) u otra información confidencial. Alerta cuando se ejecuta un programa que permite la captura de red. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
El uso de herramientas de transferencia de archivos podría indicar que un atacante está intentando mover conjuntos de herramientas a hosts adicionales o filtrar datos a un sistema remoto. Alerta cuando se ejecuta un programa asociado a la copia remota de archivos, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Los canales de comando y control y los mineros de criptomonedas suelen crear nuevas conexiones de red salientes en puertos inusuales. Alerta cuando un programa inicia una nueva conexión en un puerto poco común si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Después de obtener acceso a un sistema, un atacante podría crear un archivo comprimido de archivos para reducir el tamaño de los datos para la filtración. Alerta cuando se ejecuta un programa de compresión de datos si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
El uso de técnicas de inserción de procesos suele indicar que un usuario está depurando un programa, pero también podría indicar que un atacante está leyendo secretos de otros procesos o insertando código en ellos. Alerta cuando un programa usa mecanismos ptrace (depuración) para interactuar con otro proceso. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Los atacantes suelen usar programas de enumeración de cuentas para determinar su nivel de acceso y ver si otros usuarios han iniciado sesión actualmente en el nodo. Alerta cuando se ejecuta un programa asociado a la enumeración de cuentas, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Explorar los sistemas de archivos es un comportamiento común después de la explotación para un atacante que busca credenciales y datos de interés. Alerta cuando se ejecuta un programa asociado a la enumeración de archivos y directorios, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Los atacantes pueden analizar la información de la red local y enrutarla para identificar los hosts y redes adyacentes antes del movimiento lateral. Alerta cuando se ejecuta un programa asociado a la enumeración de configuración de red, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
A menudo, los atacantes enumeran los programas en ejecución para identificar el propósito de un nodo y si existen herramientas de seguridad o supervisión. Alerta cuando se ejecuta un programa asociado a la enumeración de procesos, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Los atacantes suelen ejecutar comandos de enumeración del sistema para determinar las versiones y características de distribución y kernel de Linux, a menudo para identificar si el nodo se ve afectado por vulnerabilidades específicas. Alerta cuando se ejecuta un programa asociado a la enumeración de información del sistema, si el programa ya forma parte de un incidente en curso. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
La modificación de tareas programadas es un método común para establecer la persistencia en un nodo en peligro. Alerta cuando los comandos crontab , at o batch se usan para modificar las configuraciones de tareas programadas. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Los cambios en las unidades del sistema podrían provocar que los controles de seguridad se relajen o se deshabiliten, o instalar un servicio malintencionado. Alerta cuando se usa el comando systemctl para modificar las unidades del sistema. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
La escalación explícita al usuario raíz reduce la capacidad de correlacionar la actividad con privilegios con un usuario específico. Alerta cuando se ejecuta el comando su . |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Alerta cuando se ejecuta el comando sudo . |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
La eliminación del archivo de historial es inusual, normalmente realizada por atacantes que ocultan la actividad o por usuarios legítimos que intentan eludir los controles de auditoría. Alerta cuando se eliminan los archivos de historial de línea de comandos. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Un atacante podría agregar un nuevo usuario a un host para proporcionar un método confiable de acceso. Alerta si se agrega una nueva entidad de usuario al archivo de administración de cuentas local /etc/passwd , si un programa de actualización del sistema no agrega la entidad. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Los atacantes pueden modificar directamente los archivos relacionados con la identidad para agregar un nuevo usuario al sistema. Alerta cuando un archivo relacionado con las contraseñas de usuario es modificado por un programa no relacionado con la actualización de la información de usuario existente. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Agregar una nueva clave pública SSH es un método común para obtener acceso persistente a un host en peligro. Alerta cuando se observa un intento de escritura en el archivo SSH authorized_keys de un usuario, si el programa ya forma parte de un incidente en curso. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
Agregar un nuevo usuario es un paso común para los atacantes al establecer la persistencia en un nodo en peligro. Alerta cuando un programa de administración de identidades lo ejecuta un programa distinto de un administrador de paquetes. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
La eliminación del archivo de historial es inusual, normalmente realizada por atacantes que ocultan la actividad o por usuarios legítimos que intentan eludir los controles de auditoría. Alerta cuando se eliminan los archivos de historial de línea de comandos. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Los archivos de configuración y perfil de usuario a menudo se modifican como un método de persistencia para ejecutar un programa cada vez que un usuario inicia sesión. Alerta cuando .bash_profile y bashrc (así como archivos relacionados) se modifican mediante un programa distinto de una herramienta de actualización del sistema. |
- instanceId |
Eventos de supervisión de antivirus
Nota:
El objeto JSON response
de estos registros de auditoría siempre tiene un campo result
que incluye una línea del resultado del examen original. Cada resultado del examen se representa normalmente mediante varios registros de auditoría, uno para cada línea de la salida del examen original. Para obtener más información sobre lo que podría aparecer en este archivo, consulte la siguiente documentación de terceros.
El siguiente evento clamAVScanService-dataplane
se registra en el nivel de área de trabajo.
Service | Acción | Descripción | Parámetros de solicitud |
---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
La supervisión antivirus realiza un examen. Se generará un registro para cada línea de la salida del examen original. | - instanceId |
Eventos de registros en desuso
Databricks ha dejado de usar los siguientes databrickssql
eventos de diagnóstico:
createAlertDestination
(ahoracreateNotificationDestination
)deleteAlertDestination
(ahoradeleteNotificationDestination
)updateAlertDestination
(ahoraupdateNotificationDestination
)muteAlert
unmuteAlert
Registros de punto de conexión de SQL
Si crea almacenes de SQL mediante la API de punto de conexión de SQL en desuso (el nombre anterior de los almacenes de SQL), el nombre del evento de auditoría correspondiente incluirá la palabra Endpoint
en lugar de Warehouse
. Además del nombre, estos eventos son idénticos a los eventos de SQL Warehouse. Para ver las descripciones y los parámetros de solicitud de estos eventos, consulte sus eventos de almacenamiento correspondientes en Eventos de Databricks SQL.
Los eventos del punto de conexión de SQL son los siguientes:
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig