Référence de table système du journal d’audit
Important
Cette table système est en Préversion publique. Pour accéder à la table, le schéma doit être activé dans votre catalogue system. Pour plus d’informations, consultez Activer les schémas de table système.
Cet article décrit le schéma de la table du journal d’audit et comporte des exemples de requêtes que vous pouvez utiliser avec la table système du journal d’audit pour répondre aux questions courantes sur l’activité de compte. Pour en savoir plus sur les événements du journal d'audit, référez-vous à la section Informations de référence sur le journal de diagnostic.
Chemin de table: cette table système se trouve à system.access.audit.
Considérations relatives au journal d'audit
- La plupart des journaux d'audit sont disponibles uniquement dans la région de l'espace de travail.
- Enregistrement des journaux d'audit au niveau du compte
workspace_idcomme0.
Schéma de table système du journal d'audit
La table système du journal d’audit utilise le schéma suivant :
| Nom de la colonne | Type de données | Description | Exemple : |
|---|---|---|---|
version |
string | Version du schéma de journal d'audit | 2.0 |
event_time |
timestamp | Timestamp de l’événement. Les informations de fuseau horaire sont enregistrées à la fin de la valeur, où +00:00 représente le fuseau horaire UTC. |
2023-01-01T01:01:01.123+00:00 |
event_date |
date | Date du calendrier à laquelle l'action a eu lieu | 2023-01-01 |
workspace_id |
long | ID de l'espace de travail | 1234567890123456 |
source_ip_address |
string | Adresse IP à laquelle la requête provient | 10.30.0.242 |
user_agent |
string | Origine de la requête | Apache-HttpClient/4.5.13 (Java/1.8.0_345) |
session_id |
string | ID de la session à partir de laquelle la demande provient | 123456789 |
user_identity |
string | Identité de l'utilisateur à l'origine de la requête | {"email": "user@domain.com","subjectName": null} |
service_name |
string | Nom du service à l'origine de la requête | unityCatalog |
action_name |
string | Catégorie de l'événement capturé dans le journal d'audit | getTable |
request_id |
string | ID de la requête | ServiceMain-4529754264 |
request_params |
map | Carte de paires clé-valeur contenant tous les paramètres de requête. Dépend du type de requête | [["full_name_arg", "user.chat.messages"],["workspace_id", "123456789"],["metastore_id", "123456789"]] |
response |
struct | Struct des valeurs de retour de la réponse | {"statusCode": 200, "errorMessage": null,"result": null} |
audit_level |
string | Événement au niveau de l'espace de travail ou du compte | ACCOUNT_LEVEL |
account_id |
string | ID du compte | 23e22ba4-87b9-4cc2-9770-d10b894bxx |
event_id |
string | ID de l’événement | 34ac703c772f3549dcc8671f654950f0 |
identity_metadata |
struct | Identités impliquées dans l’action, notamment run_by et run_as. Consultez Audit de l’activité de calcul dédiée à un groupe. |
{run_by: example@email.com; run_as: example@email.com; |
Exemples de requêtes
Les sections suivantes incluent des exemples de requêtes SQL que vous pouvez utiliser pour obtenir des insights sur votre table système des journaux d’audit.
Remarque
Certains exemples incluent des événements de journal d’audit détaillés, qui ne sont pas activés par défaut. Pour activer les journaux d'audit détaillés dans un espace de travail, référez-vous à la section Activer les journaux d'audit détaillés.
Vous trouverez dans cet article des requêtes telles que :
- Qui peut accéder à cette table ?
- Quels utilisateurs ont accédé à une table au cours des sept derniers jours ?
- À quelles tables un utilisateur a-t-il accédé récemment ?
- Afficher les modifications d'autorisations pour tous les objets sécurisables
- Afficher les commandes de notebook les plus récentes exécutées
- Quels utilisateurs se sont connectés à une application Databricks ?
- Quelles applications Databricks ont été mises à jour pour modifier la façon dont l’application est partagée avec d’autres utilisateurs ou groupes ?
Qui peut accéder à cette table ?
Cette requête utilise le information_schema pour déterminer quels utilisateurs ont des autorisations sur une table. Entrez des valeurs pour les paramètres catalogue, schéma et nom de table.
SELECT DISTINCT(grantee), privilege_type, 'catalog' AS level
FROM system.information_schema.catalog_privileges
WHERE
catalog_name = :catalog_name
UNION
SELECT DISTINCT(grantee), privilege_type, 'schema' AS level
FROM system.information_schema.schema_privileges
WHERE
catalog_name = :catalog_name AND schema_name = :schema_name
UNION
SELECT DISTINCT(grantee) AS `accessible by`, privilege_type, 'table' AS level
FROM
system.information_schema.table_privileges
WHERE
table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name
UNION
SELECT table_owner, 'ALL_PRIVILEGES' AS privilege_type, 'owner' AS level
FROM system.information_schema.tables
WHERE
table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name
Quels utilisateurs ont accédé à une table au cours des sept derniers jours ?
Pour que cette requête fonctionne, entrez les informations de chemin d’accès de la table dans les paramètres de requête.
Remarque
Les noms complets ne sont pas capturés dans le journal pour les opérations DML. Incluez le schéma et le nom simple pour capturer tout.
SELECT
user_identity.email as `User`,
IFNULL(
request_params.full_name_arg,
request_params.name
) AS `Table`,
action_name AS `Type of Access`,
event_time AS `Time of Access`
FROM
system.access.audit
WHERE
(
request_params.full_name_arg = :table_full_name
OR (
request_params.name = :table_name
AND request_params.schema_name = :schema_name
)
)
AND action_name IN ('createTable', 'getTable', 'deleteTable')
AND event_date > now() - interval 7 day
ORDER BY
event_date DESC
Auxquelles tables un utilisateur a accédé récemment ?
Pour que cette requête fonctionne, entrez l’e-mail de l’utilisateur dans le paramètre :User et un nombre dans le paramètre :days_ago.
SELECT
action_name as `EVENT`,
event_time as `WHEN`,
IFNULL(request_params.full_name_arg, 'Non-specific') AS `TABLE ACCESSED`,
IFNULL(request_params.commandText, 'GET table') AS `QUERY TEXT`
FROM
system.access.audit
WHERE
user_identity.email = :User
AND action_name IN (
'createTable',
'commandSubmit',
'getTable',
'deleteTable'
)
AND datediff(now(), event_date) < :days_ago
ORDER BY
event_date DESC
Résultat de l’exemple
EVENT |
WHEN |
TABLE ACCESSED |
QUERY TEXT |
|---|---|---|---|
getTable |
2023-05-31 |
system.access.audit |
GET table |
getTable |
2023-05-31 |
system.access.table_lineage |
GET table |
commandSubmit |
2023-05-31 |
Non-specific |
show functions; |
commandSubmit |
2023-05-31 |
Non-specific |
SELECTrequest_paramsFROMsystem.access.auditWHEREservice_name = "notebook"AND action_name = "moveFolder"LIMIT5 |
Afficher les modifications d'autorisations pour tous les objets sécurisables
Cette requête renvoie un événement pour chaque modification d’autorisation survenue dans votre compte. La requête renvoie l'utilisateur qui a effectué la modification, le type et le nom de l'objet sécurisable, ainsi que les modifications spécifiques qui ont été apportées.
SELECT event_time, user_identity.email, request_params.securable_type, request_params.securable_full_name, request_params.changes
FROM system.access.audit
WHERE service_name = 'unityCatalog'
AND action_name = 'updatePermissions'
ORDER BY 1 DESC
Afficher les commandes de notebook les plus récentes exécutées
Cette requête retourne les commandes de notebook les plus récentes et l’utilisateur qui a exécuté la commande.
Remarque
L'action runCommand n'est émise que lorsque les journaux d'audit détaillés sont activés. Pour activer les journaux d'audit détaillés, référez-vous à la section Activer les journaux d'audit détaillés.
SELECT event_time, user_identity.email, request_params.commandText
FROM system.access.audit
WHERE action_name = `runCommand`
ORDER BY event_time DESC
LIMIT 100
Quels utilisateurs se sont connectés à une application Databricks ?
Cette requête retourne un événement pour chaque connexion à une instance d’application Databricks.
SELECT
event_date,
workspace_id,
request_params.request_object_id as app,
user_identity.email as user_email,
user_identity.subject_name as username
FROM
system.access.audit
WHERE
action_name IN ("workspaceInHouseOAuthClientAuthentication", "mintOAuthToken", "mintOAuthAuthorizationCode")
AND
request_params["client_id"] LIKE "{{application-ID}}"
GROUP BY
event_date,
workspace_id,
app,
user_email,
username
Remplacez {{application-ID}} par la valeur d’ID d’application pour le principal de service affecté à une application Databricks spécifique. Cette valeur se trouve dans les paramètres d’administration de l’espace de travail Databricks hébergeant l’application.
Quelles applications Databricks ont été mises à jour pour modifier la façon dont l’application est partagée avec d’autres utilisateurs ou groupes ?
Cette requête retourne des événements pour les mises à jour d’autorisation pour modifier l’accès aux applications Databricks, y compris le type d’autorisation, l’utilisateur ou le groupe auquel la nouvelle autorisation est affectée et l’utilisateur qui a envoyé la modification.
SELECT
event_date,
workspace_id,
request_params['request_object_id'] as app,
user_identity['email'] as sharing_user,
acl_entry['group_name'],
acl_entry['user_name'],
acl_entry['permission_level']
FROM
system.access.audit t
LATERAL VIEW
explode(from_json(request_params['access_control_list'], 'array<struct<user_name:string,permission_level:string,group_name:string>>')) acl_entry AS acl_entry
WHERE
action_name = 'changeAppsAcl'
AND
request_params['request_object_type'] = 'apps'
ORDER BY
event_date DESC