Share via


診断ログ リファレンス

注意

この機能を使用するには、Premium プランが必要です。

この記事は、使用可能な監査ログ サービスとイベントの包括的なリファレンスを提供します。 診断ログに記録されるイベントを把握すると、企業はアカウント内の詳細な Azure Databricks の使用パターンを監視できます。

アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、システム テーブル (パブリック プレビュー) を使用することです。

定期的なログ配信を構成する場合は、「診断ログ配信を構成する」をご覧ください。

Azure Databricks では、セキュリティおよび不正行為分析のために、監査ログのコピーが最大 1 年間保持されます。

診断ログ サービス

次のサービスとそのイベントは、既定で診断ログに記録されます。

ワークスペースレベルのサービス

サービス名 説明
accounts アカウント、ユーザー、グループ、および IP アクセス リストに関連するイベント。
clusters クラスターに関連するイベント。
clusterPolicies クラスター ポリシーに関連するイベント。
dashboards Lakeview ダッシュボードの使用に関連するイベント。
databrickssql Databricks SQL の使用に関連するイベント。
dbfs DBFS に関連するイベント。
deltaPipelines Delta Live Table パイプラインに関連するイベント。
featureStore Databricks Feature Store に関連するイベント。
filesystem Files API に関連するイベント。
genie サポート担当者によるワークスペース アクセスに関連するイベント。
gitCredentials Databricks Git フォルダーの Git 資格情報に関連するイベント。 repos も参照してください。
globalInitScripts グローバル init スクリプトに関連するイベント。
groups アカウントとワークスペース グループに関連するイベント。
ingestion ファイルのアップロードに関連するイベント。
instancePools pools に関連するイベント。
jobs ジョブに関連するイベント。
marketplaceConsumer Databricks Marketplace のコンシューマー アクションに関連するイベント。
marketplaceProvider Databricks Marketplace のプロバイダー アクションに関連するイベント。
mlflowAcledArtifact ACL を使用したML Flow 成果物に関連するイベント。
mlflowExperiment ML Flow 実験に関連するイベント。
modelRegistry モデル レジストリに関連するイベント。
ノートブック ノートブックに関連するイベント。
partnerConnect Partner Connect に関連するイベント。
remoteHistoryService GitHub 資格情報の追加と削除に関連するイベント。
repos Databricks Git フォルダーに関連するイベント。 gitCredentials も参照してください。
secrets シークレットに関連するイベント。
serverlessRealTimeInference モデル サービングに関連するイベント。
sqlPermissions レガシの Hive メタストア テーブル アクセス制御に関連するイベント。
ssh SSH アクセスに関連するイベント。
vectorSearch ベクトル検索に関連するイベント。
webTerminal Web ターミナル機能に関連するイベント。
ワークスペース ワークスペースに関連するイベント。

アカウントレベルのサービス

アカウントレベルの監査ログは、次のサービスで利用可能です。

サービス名 説明
accountBillableUsage アカウント コンソールでの課金対象の使用状況アクセスに関連するアクション。
accountsAccessControl アカウントレベルのアクセス制御規則に関連するアクション。
accountsManager ネットワーク接続構成に関連するアクション。
unityCatalog Unity Catalog で実行されるアクション。 これには Delta Sharing イベントも含まれます。「Delta Sharing イベント」参照してください。

追加のセキュリティ監視サービス

コンプライアンス セキュリティ プロファイル (FedRAMP、PCI、HIPAA などの一部のコンプライアンス標準に必要) またはセキュリティ強化監視を使用するワークスペースには、追加のサービスと関連するアクションがあります。

これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ監視を使用している場合にのみログに生成される、ワークスペースレベルのサービスです。

サービス名 説明
capsule8-alerts-dataplane ファイルの整合性の監視に関連するアクション。
clamAVScanService-dataplanel ウイルス対策監視に関連するアクション。
monit プロセス モニターに関連するアクション。
syslog システム ログに関連するアクション。

診断ログのスキーマの例

Azure Databricks では、診断ログは JSON 形式でイベントを出力します。 Azure Databricks では、監査ログは JSON 形式でイベントを出力します。 serviceName および actionName プロパティは、バインドを識別します。 名前付け規則は、Databricks REST API に従います。

次の JSON サンプルは、ユーザーがジョブを作成したときにログに記録されるイベントの例です。

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

診断ログのスキーマに関する考慮事項

  • アクションに時間がかかる場合、要求と応答は別々にログに記録されますが、要求と応答のペアは同じ requestId を持ちます。
  • 自動スケーリングによるクラスターのサイズ変更や、スケジューリングによるジョブの起動などの自動化アクションは、ユーザー System-User によって実行されます。
  • requestParams フィールドは切り捨てられる可能性があります。 JSON 表現のサイズが 100 KB を超える場合、値は切り捨てられ、切り捨てられたエントリに文字列 ... truncated が追加されます。 切り捨てられたマップがまだ 100 KB を超えているまれなケースでは、空の値を持つ 1 つの TRUNCATED キーが代わりに配置されます。

アカウントのイベント

ワークスペース レベルでログされる accounts イベントを次に示します。

サービス Action 説明 要求パラメーター
accounts activateUser ユーザーが、非アクティブ化された後に再アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。 * targetUserName
* endpoint
* targetUserId
accounts aadBrowserLogin ユーザーは、Microsoft Entra ID (旧称 Azure Active Directory) トークンを使って Databricks にログインします。 * user
accounts aadTokenLogin ユーザーは、Microsoft Entra ID (旧称 Azure Active Directory) ブラウザー ワークフローを介して Databricks にログインします。 * user
accounts accountInHouseOAuthClientAuthentication OAuth クライアントが認証される。 * endpoint
accounts activateUser 管理者が Azure portal から Databricks アカウントにユーザーを追加する。 * warehouse
* targetUserName
* targetUserId
accounts add ユーザーが Azure Databricks ワークスペースに追加される。 * targetUserName
* endpoint
* targetUserId
accounts addPrincipalToGroup ユーザーがワークスペース レベルのグループに追加される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts changeDatabricksSqlAcl ユーザーの Databricks SQL アクセス許可が変更される。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeDatabricksWorkspaceAcl ワークスペースへのアクセス許可が変更される。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeDbTokenAcl トークンに対するアクセス許可が変更されるとき。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeServicePrincipalAcls サービス プリンシパルのアクセス許可が変更されるとき。 * shardName
* targetServicePrincipal
* resourceId
* aclPermissionSet
accounts createGroup ワークスペースレベルのグループが作成される。 * endpoint
* targetGroupId
* targetGroupName
accounts createIpAccessList IP アクセス リストがワークスペースに追加される。 * ipAccessListId
* userId
accounts deactivateUser ユーザーがワークスペースで非アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。 * targetUserName
* endpoint
* targetUserId
accounts delete ユーザーが Azure Databricks ワークスペースから削除される。 * targetUserId
* targetUserName
* endpoint
accounts deleteIpAccessList IP アクセス リストがワークスペースから削除される。 * ipAccessListId
* userId
accounts garbageCollectDbToken ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。 * tokenExpirationTime
* tokenClientId
* userId
* tokenCreationTime
* tokenFirstAccessed
accounts generateDbToken [ユーザー設定] からトークンを生成するとき、またはサービスがトークンを生成するとき。 * tokenExpirationTime
* tokenCreatedBy
* tokenHash
* userId
accounts IpAccessDenied ユーザーが拒否された IP 経由でサービスへの接続を試みる。 * path
* userName
accounts ipAccessListQuotaExceeded * userId
accounts jwtLogin ユーザーが JWT を使用して Databricks にログインする。 * user
accounts login ユーザーがワークスペースにログインする。 * user
accounts logout ユーザーがワークスペースからログアウトする。 * user
accounts oidcTokenAuthorization 汎用 OIDC/OAuth トークン経由で API 呼び出しが承認されるとき。 * user
accounts passwordVerifyAuthentication * user
accounts reachMaxQuotaDbToken 期限切れでないトークンの現在の数がトークン クォータを超えるとき
accounts removeAdmin ユーザーがワークスペース管理者のアクセス許可を取り消される。 * targetUserName
* endpoint
* targetUserId
accounts removeGroup グループがワークスペースから削除される。 * targetGroupId
* targetGroupName
* endpoint
accounts removePrincipalFromGroup ユーザーがグループから削除される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts revokeDbToken ユーザーのトークンがワークスペースからドロップされます。 ユーザーが Databricks アカウントから削除されるとトリガーできます。 * userId
accounts setAdmin ユーザーにアカウント管理者のアクセス許可が付与される。 * endpoint
* targetUserName
* targetUserId
accounts tokenLogin ユーザーがトークンを使用して Databricks にログインする。 * tokenId
* user
accounts updateIpAccessList IP アクセス リストが変更される。 * ipAccessListId
* userId
accounts updateUser ユーザーのアカウントに変更が加えられる。 * warehouse
* targetUserName
* targetUserId
accounts validateEmail ユーザーがアカウントの作成後にメールを検証するとき。 * endpoint
* targetUserName
* targetUserId

クラスターのイベント

ワークスペース レベルでログされる cluster イベントを次に示します。

サービス Action 説明 要求パラメーター
clusters changeClusterAcl ユーザーがクラスター ACL を変更する。 * shardName
* aclPermissionSet
* targetUserId
* resourceId
clusters create ユーザーがクラスターを作成する。 * cluster_log_conf
* num_workers
* enable_elastic_disk
* driver_node_type_id
* start_cluster
* docker_image
* ssh_public_keys
* aws_attributes
* acl_path_prefix
* node_type_id
* instance_pool_id
* spark_env_vars
* init_scripts
* spark_version
* cluster_source
* autotermination_minutes
* cluster_name
* autoscale
* custom_tags
* cluster_creator
* enable_local_disk_encryption
* idempotency_token
* spark_conf
* organization_id
* no_driver_daemon
* user_id
* virtual_cluster_size
* apply_policy_default_values
* data_security_mode
clusters createResult クラスターの作成の結果。 create と連動。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters delete クラスターが終了される。 * cluster_id
clusters deleteResult クラスターの終了の結果。 delete と連動。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters edit ユーザーがクラスター設定を変更する。 これにより、クラスター サイズや自動スケーリング動作の変更を除くすべての変更がログされます。 * cluster_log_conf
* num_workers
* enable_elastic_disk
* driver_node_type_id
* start_cluster
* docker_image
* ssh_public_keys
* aws_attributes
* acl_path_prefix
* node_type_id
* instance_pool_id
* spark_env_vars
* init_scripts
* spark_version
* cluster_source
* autotermination_minutes
* cluster_name
* autoscale
* custom_tags
* cluster_creator
* enable_local_disk_encryption
* idempotency_token
* spark_conf
* organization_id
* no_driver_daemon
* user_id
* virtual_cluster_size
* apply_policy_default_values
* data_security_mode
clusters permanentDelete UI からクラスターが削除される。 * cluster_id
clusters resize クラスターがサイズ変更される。 これは、変化する唯一のプロパティがクラスター のサイズまたは自動スケーリングの動作である実行中のクラスターに記録されます。 * cluster_id
* num_workers
* autoscale
clusters resizeResult クラスターのサイズ変更の結果。 resize と連動。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters restart ユーザーが実行中のクラスターを再起動する。 * cluster_id
clusters restartResult クラスターの再起動の結果。 restart と連動。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters start ユーザーがクラスターを起動する。 * init_scripts_safe_mode
* cluster_id
clusters startResult クラスターの起動の結果。 start と連動。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId

クラスター ライブラリのイベント

ワークスペース レベルでログされる clusterLibraries イベントを次に示します。

サービス Action 説明 要求パラメーター
clusterLibraries installLibraries ユーザーがクラスターにライブラリをインストールする。 * cluster_id
* libraries
clusterLibraries uninstallLibraries ユーザーがクラスター上のライブラリをアンインストールする。 * cluster_id
* libraries
clusterLibraries installLibraryOnAllClusters ワークスペース管理者が、すべてのクラスターにライブラリをインストールするようにスケジュールする。 * user
* library
clusterLibraries uninstallLibraryOnAllClusters ワークスペース管理者が、すべてのクラスターにインストールする一覧からライブラリを削除する。 * user
* library

クラスター ポリシー イベント

ワークスペース レベルでログされる clusterPolicies イベントを次に示します。

サービス Action 説明 要求パラメーター
clusterPolicies create ユーザーがクラスター ポリシーを作成した。 * name
clusterPolicies edit ユーザーがクラスター ポリシーを編集した。 * policy_id
* name
clusterPolicies delete ユーザーがクラスター ポリシーを削除した。 * policy_id
clusterPolicies changeClusterPolicyAcl ワークスペース管理者がクラスター ポリシーのアクセス許可を変更する。 * shardName
* targetUserId
* resourceId
* aclPermissionSet

ダッシュボード イベント

ワークスペース レベルでログされる dashboards イベントを次に示します。

サービス Action 説明 要求パラメーター
dashboards createDashboard ユーザーが UI または API を使用して、新しい Lakeview ダッシュボードを作成します。 * dashboard_id
dashboards updateDashboard ユーザーが UI または API を使用して、Lakeview ダッシュボードを更新します。 * dashboard_id
dashboards cloneDashboard ユーザーが Lakeview ダッシュボードをクローンします。 * source_dashboard_id
* new_dashboard_id
dashboards publishDashboard ユーザーが UI または API を使用して、Lakeview ダッシュボード (資格情報の埋め込みあり、または埋め込みなし) を公開します。 * dashboard_id
* credentials_embedded
* warehouse_id
dashboards unpublishDashboard ユーザーが UI または API を使用して、公開された Lakeview ダッシュボードを非公開にします。 * dashboard_id
dashboards trashDashboard ユーザーが UI または API を使用して、Lakeview ダッシュボードをごみ箱に移動します。 * dashboard_id
dashboards restoreDashboard ユーザーがごみ箱からダッシュボードを復元します。 * dashboard_id
dashboards migrateDashboard ユーザーが DBSQL ダッシュボードから Lakeview ダッシュボードに移行します。 * source_dashboard_id
* new_dashboard_id
dashboards createSchedule ユーザーがメール サブスクリプションのスケジュールを作成します。 * dashboard_id
* schedule_id
dashboards updateSchedule ユーザーが Lakeview ダッシュボードのスケジュールを更新します。 * dashboard_id
* schedule_id
dashboards deleteSchedule ユーザーが Lakeview ダッシュボードのスケジュールを削除します。 * dashboard_id
* schedule_id
dashboards createSubscription ユーザーがメールの宛先を Lakeview ダッシュボードのスケジュールにサブスクライブします。 * dashboard_id
* schedule_id
* schedule
dashboards deleteSubscription ユーザーが Lakeview ダッシュボードのスケジュールからメールの宛先を削除します。 * dashboard_id
* schedule_id

Databricks SQL イベント

ワークスペース レベルでログされる databrickssql イベントを次に示します。

Note

レガシ SQL エンドポイント API を使用して SQL ウェアハウスを管理する場合、SQL ウェアハウスの監査イベントのアクション名は異なります。 SQL エンドポイント ログに関するページを参照してください。

Service Action 説明 要求パラメーター
databrickssql addDashboardWidget ウィジェットがダッシュボードに追加されます。 * dashboardId
* widgetId
databrickssql cancelQueryExecution SQL エディター UI からクエリの実行が取り消されます。 これには、Query History UI または Databricks SQL 実行 API からの取り消しは含まれません。 * queryExecutionId
databrickssql changeWarehouseAcls ウェアハウス マネージャーが SQL ウェアハウスのアクセス許可を更新します。 * aclPermissionSet
* resourceId
* shardName
* targetUserId
databrickssql changePermissions ユーザーがオブジェクトのアクセス許可を更新する。 * granteeAndPermission
* objectId
* objectType
databrickssql cloneDashboard ユーザーがダッシュボードを複製する。 * dashboardId
databrickssql commandSubmit 詳細監査ログでのみ。 要求の発生元に関係なく、コマンドが SQL ウェアハウスに送信されるときに生成されます。 * warehouseId
* commandId
* validation
* commandText
databrickssql commandFinish 詳細監査ログでのみ。 取り消し要求の発生元に関係なく、SQL ウェアハウス上でコマンドが完了するか、取り消されたときに生成されます。 * warehouseId
* commandId
databrickssql createAlert ユーザーがアラートを作成する。 * alertId
databrickssql createNotificationDestination ワークスペース管理者が通知先を作成する。 * notificationDestinationId
* notificationDestinationType
databrickssql createDashboard ユーザーがダッシュボードを作成する。 * dashboardId
databrickssql createDataPreviewDashboard ユーザーがデータ プレビュー ダッシュボードを作成する。 * dashboardId
databrickssql createWarehouse クラスターの作成エンタイトルメントを持つユーザーが SQL ウェアハウスを作成します。 * auto_resume
* auto_stop_mins
* channel
* cluster_size
* conf_pairs
* custom_cluster_confs
* enable_databricks_compute
* enable_photon
* enable_serverless_compute
* instance_profile_arn
* max_num_clusters
* min_num_clusters
* name
* size
* spot_instance_policy
* tags
* test_overrides
databrickssql createQuery ユーザーがクエリの下書きを保存することでクエリを作成します。 * queryId
databrickssql createQueryDraft ユーザーがクエリの下書きを作成する。 * queryId
databrickssql createQuerySnippet ユーザーがクエリ スニペットを作成する。 * querySnippetId
databrickssql createSampleDashboard ユーザーがサンプル ダッシュボードを作成する。 * sampleDashboardId
databrickssql createVisualization ユーザーが SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用するノートブックの既定の結果テーブルと視覚化を除外します。 * queryId
* visualizationId
databrickssql deleteAlert ユーザーがアラート インターフェイスから、または API 経由でアラートを削除します。 ファイル ブラウザー UI からの削除を除外します。 * alertId
databrickssql deleteNotificationDestination ワークスペース管理者が通知先を削除する。 * notificationDestinationId
databrickssql deleteDashboard ユーザーがダッシュボード インターフェイスから、または API 経由でダッシュボードを削除します。 ファイル ブラウザー UI 経由の削除を除外します。 * dashboardId
databrickssql deleteDashboardWidget ユーザーがダッシュボード ウィジェットを削除する。 * widgetId
databrickssql deleteWarehouse ウェアハウス マネージャーが SQL ウェアハウスを削除します。 * id
databrickssql deleteQuery ユーザーがクエリ インターフェイスから、または API 経由でクエリを削除します。 ファイル ブラウザー UI 経由の削除を除外します。 * queryId
databrickssql deleteQueryDraft ユーザーがクエリの下書きを削除する。 * queryId
databrickssql deleteQuerySnippet ユーザーがクエリ スニペットを削除する。 * querySnippetId
databrickssql deleteVisualization ユーザーが SQL エディターのクエリから視覚化を削除します。 * visualizationId
databrickssql downloadQueryResult ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。 * fileType
* queryId
* queryResultId
databrickssql editWarehouse ウェアハウス マネージャーが SQL ウェアハウスに対して編集を行います。 * auto_stop_mins
* channel
* cluster_size
* confs
* enable_photon
* enable_serverless_compute
* id
* instance_profile_arn
* max_num_clusters
* min_num_clusters
* name
* spot_instance_policy
* tags
databrickssql executeAdhocQuery 次のいずれかによって生成されます。

* ユーザーが SQL エディターでクエリの下書きを実行する
* 視覚化集計からクエリが実行される
* ユーザーがダッシュボードを読み込み、基になるクエリを実行する
* dataSourceId
databrickssql executeSavedQuery ユーザーが保存されたクエリを実行する。 * queryId
databrickssql executeWidgetQuery ダッシュボード パネルが更新されるクエリを実行するイベントによって生成されます。 該当するイベントの例をいくつか次に示します。

* 1 つのパネルの更新
* ダッシュボード全体の更新
* スケジュールされたダッシュボードの実行
* 64,000 を超える行に対して操作されるパラメーターまたはフィルターの変更
* widgetId
databrickssql favoriteDashboard ユーザーがダッシュボードをお気に入りに追加する。 * dashboardId
databrickssql favoriteQuery ユーザーがクエリをお気に入りに追加する。 * queryId
databrickssql forkQuery ユーザーがクエリを複製します。 * originalQueryId
* queryId
databrickssql listQueries ユーザーがクエリ リスト ページを開くか、リスト クエリ API を呼び出します。 * filter_by
* include_metrics
* max_results
* page_token
databrickssql moveDashboardToTrash ユーザーがダッシュボードをごみ箱に移動する。 * dashboardId
databrickssql moveQueryToTrash ユーザーがクエリをごみ箱に移動する。 * queryId
databrickssql muteAlert ユーザーが API 経由でアラートをミュートします。 * alertId
databrickssql restoreDashboard ユーザーがごみ箱からダッシュボードを復元する。 * dashboardId
databrickssql restoreQuery ユーザーがごみ箱からクエリを復元する。 * queryId
databrickssql setWarehouseConfig ウェアハウス・マネージャーが SQL ウェアハウスの構成を設定します。 * data_access_config
* enable_serverless_compute
* instance_profile_arn
* security_policy
* serverless_agreement
* sql_configuration_parameters
* try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボード スナップショットが含まれます。 * dashboardId
databrickssql startWarehouse SQL ウェアハウスが開始される。 * id
databrickssql stopWarehouse ウェアハウス マネージャーが SQL ウェアハウスを停止します。 自動停止されたウェアハウスを除外します。 * id
databrickssql transferObjectOwnership ワークスペース管理者が、ダッシュボード、クエリ、またはアラートの所有権をアクティブ ユーザーに転送する。 * newOwner
* objectId
* objectType
databrickssql unfavoriteDashboard ユーザーが自分のお気に入りからダッシュボードを削除する。 * dashboardId
databrickssql unfavoriteQuery ユーザーが自分のお気に入りからクエリを削除する。 * queryId
databrickssql unmuteAlert ユーザーが API 経由でアラートのミュートを解除します * alertId.
databrickssql updateAlert ユーザーがアラートを更新する。 * alertId
* queryId
databrickssql updateNotificationDestination ワークスペース管理者が通知先を更新する。 * notificationDestinationId
databrickssql updateDashboardWidget ユーザーがダッシュボード ウィジェットを更新する。 軸スケールの変更を除外します。 該当する更新の例を次に示します。

* ウィジェットのサイズや配置の変更
* ウィジェットパラメーターの追加または削除
* widgetId
databrickssql updateDashboard ユーザーがダッシュボード プロパティを更新します。 スケジュールとサブスクリプションの変更を除外します。 該当する更新の例を次に示します。

* ダッシュボード名の変更
* SQL ウェアハウスの変更
* [実行するアカウント名] 設定の変更
* dashboardId
databrickssql updateOrganizationSetting ワークスペース管理者がワークスペースの SQL 設定を更新する。 * has_configured_data_access
* has_explored_sql_warehouses
* has_granted_permissions
databrickssql updateQuery ユーザーがクエリを更新する。 * queryId
databrickssql updateQueryDraft ユーザーがクエリの下書きを更新する。 * queryId
databrickssql updateQuerySnippet ユーザーがクエリ スニペットを更新する。 * querySnippetId
databrickssql updateVisualization ユーザーが SQL エディターまたはダッシュボードから視覚化を更新します。 * visualizationId

DBFS イベント

次の表に、ワークスペース レベルでログされる dbfs イベントを示します。

DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。

DBFS API イベント

次の DBFS 監査イベントは、DBFS REST API 経由で書き込まれたときにのみログに記録されます。

Service Action 説明 要求パラメーター
dbfs addBlock ユーザーがデータ ブロックをストリームに追加する。 これは dbfs/create と組み合わせて使用され、DBFS にデータをストリーミングします。 * handle
* data_length
dbfs create ユーザーがストリームを開いて、DBFS にファイルを書き込む。 * path
* bufferSize
* overwrite
dbfs delete ユーザーが DBFS からファイルまたはディレクトリを削除する。 * recursive
* path
dbfs mkdirs ユーザーが新しい DBFS ディレクトリを作成する。 * path
dbfs move ユーザーが DBFS 内のある場所から別の場所にファイルを移動する。 * dst
* source_path
* src
* destination_path
dbfs put ユーザーがマルチパート フォーム ポストを使用して DBFS にファイルをアップロードする。 * path
* overwrite

DBFS 操作イベント

次の DBFS 監査イベントは、コンピューティング プレーンで発生します。

サービス Action 説明 要求パラメーター
dbfs mount ユーザーが特定の DBFS の場所にマウント ポイントを作成する。 * mountPoint
* owner
dbfs unmount ユーザーが特定の DBFS の場所にあるマウント ポイントを削除する。 * mountPoint

Delta パイプライン イベント

Service Action 説明 要求パラメーター
deltaPipelines changePipelineAcls ユーザーがパイプラインのアクセス許可を変更する。 * shardId
* targetUserId
* resourceId
* aclPermissionSet
deltaPipelines create ユーザーが Delta Live Tables パイプラインを作成する。 * allow_duplicate_names
* clusters
* configuration
* continuous
* development
* dry_run
* id
* libraries
* name
* storage
* target
* channel
* edition
* photon
deltaPipelines delete ユーザーが Delta Live Tables パイプラインを削除する。 * pipeline_id
deltaPipelines edit ユーザーが Delta Live Tables パイプラインを編集する。 * allow_duplicate_names
* clusters
* configuration
* continuous
* development
* expected_last_modified
* id
* libraries
* name
* pipeline_id
* storage
* target
* channel
* edition
* photon
deltaPipelines startUpdate ユーザーが Delta Live Tables パイプラインを再起動する。 * cause
* full_refresh
* job_task
* pipeline_id
deltaPipelines stop ユーザーが Delta Live Tables パイプラインを停止する。 * pipeline_id

Feature Store イベント

次の featureStore イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
featureStore addConsumer コンシューマーが特徴ストアに追加される。 * features
* job_run
* notebook
featureStore addDataSources データ ソースが特徴テーブルに追加される。 * feature_table
* paths, tables
featureStore addProducer プロデューサーが特徴テーブルに追加される。 * feature_table
* job_run
* notebook
featureStore changeFeatureTableAcl 特徴テーブルでアクセス許可が変更される。 * aclPermissionSet
* resourceId
* shardName
* targetUserId
featureStore createFeatureTable 特徴テーブルが作成される。 * description
* name
* partition_keys
* primary_keys
* timestamp_keys
featureStore createFeatures 特徴テーブルに特徴が作成される。 * feature_table
* features
featureStore deleteFeatureTable 特徴テーブルが削除される。 * name
featureStore deleteTags 特徴テーブルからタグが削除される。 * feature_table_id
* keys
featureStore getConsumers ユーザーが特徴テーブル内のコンシューマーを取得する呼び出しを行う。 * feature_table
featureStore getFeatureTable ユーザーが特徴テーブルを取得する呼び出しを行う。 * name
featureStore getFeatureTablesById ユーザーが特徴テーブル ID を取得する呼び出しを行う。 * ids
featureStore getFeatures ユーザーが特徴を取得する呼び出しを行う。 * feature_table
* max_results
featureStore getModelServingMetadata ユーザーが Model Serving メタデータを取得する呼び出しを行う。 * feature_table_features
featureStore getOnlineStore ユーザーがオンライン ストアの詳細を取得する呼び出しを行う。 * cloud
* feature_table
* online_table
* store_type
featureStore getTags ユーザーが特徴テーブルのタグを取得する呼び出しを行う。 * feature_table_id
featureStore publishFeatureTable 特徴テーブルが公開される。 * cloud
* feature_table
* host
* online_table
* port
* read_secret_prefix
* store_type
* write_secret_prefix
featureStore searchFeatureTables ユーザーが特徴テーブルを検索する。 * max_results
* page_token
* text
featureStore setTags 特徴テーブルにタグが追加される。 * feature_table_id
* tags
featureStore updateFeatureTable 特徴テーブルが更新される。 * description
* name

Files API イベント

次の filesystem イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
filesystem filesGet ユーザーがファイルをダウンロードする。 * path
* transferredSize
filesystem filesPut ユーザーがファイルをアップロードする。 * path
* receivedSize
filesystem filesDelete ユーザーがファイルを削除する。 * path
filesystem filesHead ユーザーがファイルに関する情報を取得する。 * path

Genie イベント

次の genie イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
genie databricksAccess Databricks の担当者が顧客環境へのアクセスを承認される。 * duration
* approver
* reason
* authType
* user

Git 資格情報イベント

次の gitCredentials イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
gitCredentials getGitCredential ユーザーが Git 資格情報を取得する。 * id
gitCredentials listGitCredentials ユーザーがすべての Git 資格情報を一覧表示する なし
gitCredentials deleteGitCredential ユーザーが Git 資格情報を削除する。 * id
gitCredentials updateGitCredential ユーザーが Git 資格情報を更新する。 * id
* git_provider
* git_username
gitCredentials createGitCredential ユーザーが Git 資格情報を作成する。 * git_provider
* git_username

グローバル init スクリプト イベント

次の globalInitScripts イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
globalInitScripts create ワークスペース管理者がグローバル初期化スクリプトを作成する。 * name
* position
* script-SHA256
* enabled
globalInitScripts update ワークスペース管理者がグローバル初期化スクリプトを更新する。 * script_id
* name
* position
* script-SHA256
* enabled
globalInitScripts delete ワークスペース管理者がグローバル初期化スクリプトを削除する。 * script_id

グループ イベント

次の groups イベントがワークスペース レベルでログされます。 これらのアクションは、レガシ ACL グループに関連しています。 アカウントとワークスペースの各レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。

サービス Action 説明 要求パラメーター
groups addPrincipalToGroup 管理者がユーザーをグループに追加する。 * user_name
* parent_name
groups createGroup 管理者がグループを作成する。 * group_name
groups getGroupMembers 管理者がグループ メンバーを表示する。 * group_name
groups getGroups 管理者がグループの一覧を表示します なし
groups getInheritedGroups 管理者が継承されたグループを表示します なし
groups removeGroup 管理者がグループを削除する。 * group_name

インジェスト イベント

次の ingestion イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
ingestion proxyFileUpload ユーザーが Azure Databricks ワークスペースにファイルをアップロードする。 * x-databricks-content-length-0
* x-databricks-total-files

インスタンス プール イベント

次の instancePools イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
instancePools changeInstancePoolAcl ユーザーがインスタンス プールのアクセス許可を変更する。 * shardName
* resourceId
* targetUserId
* aclPermissionSet
instancePools create ユーザーがインスタンス プールを作成する。 * enable_elastic_disk
* preloaded_spark_versions
* idle_instance_autotermination_minutes
* instance_pool_name
* node_type_id
* custom_tags
* max_capacity
* min_idle_instances
* aws_attributes
instancePools delete ユーザーがインスタンス プールを削除する。 * instance_pool_id
instancePools edit ユーザーがインスタンス プールを編集する。 * instance_pool_name
* idle_instance_autotermination_minutes
* min_idle_instances
* preloaded_spark_versions
* max_capacity
* enable_elastic_disk
* node_type_id
* instance_pool_id
* aws_attributes

ジョブ イベント

次の jobs イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
jobs cancel ジョブの実行が取り消される。 * run_id
jobs cancelAllRuns ユーザーがジョブ上のすべての実行を取り消す。 * job_id
jobs changeJobAcl ユーザーがジョブのアクセス許可を更新する。 * shardName
* aclPermissionSet
* resourceId
* targetUserId
jobs create ユーザーがジョブを作成する。 * spark_jar_task
* email_notifications
* notebook_task
* spark_submit_task
* timeout_seconds
* libraries
* name
* spark_python_task
* job_type
* new_cluster
* existing_cluster_id
* max_retries
* schedule
* run_as
jobs delete ユーザーがジョブを削除する。 * job_id
jobs deleteRun ユーザーがジョブ実行を削除する。 * run_id
jobs getRunOutput ユーザーが実行の出力を取得する API 呼び出しを行う。 * run_id
* is_from_webapp
jobs repairRun ユーザーがジョブ実行を修復する。 * run_id
* latest_repair_id
* rerun_tasks
jobs reset ジョブがリセットされる。 * job_id
* new_settings
jobs resetJobAcl ユーザーがジョブのアクセス許可の変更を要求する。 * grants
* job_id
jobs runCommand 詳細監査ログが有効になっているときに使用可能。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブック内のセルに対応します。 * jobId
* runId
* notebookId
* executionTime
* status
* commandId
* commandText
jobs runFailed ジョブ実行が失敗する。 * jobClusterType
* jobTriggerType
* jobId
* jobTaskType
* runId
* jobTerminalState
* idInJob
* orgId
* runCreatorUserName
jobs runNow ユーザーがオンデマンド ジョブ実行をトリガーする。 * notebook_params
* job_id
* jar_params
* workflow_context
jobs runStart 検証とクラスターの作成後にジョブ実行が開始されたときに出力されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクの種類によって異なります。 一覧表示されているパラメーターに加えて、次のものが含まれることがあります。

* dashboardId (SQL ダッシュボード タスクの場合)
* filePath (SQL ファイル タスクの場合)
* notebookPath (ノートブック タスクの場合)
* mainClassName (Spark JAR タスクの場合)
* pythonFile (Spark JAR タスクの場合)
* projectDirectory (dbt タスクの場合)
* commands (dbt タスクの場合)
* packageName (Python wheel タスクの場合)
* entryPoint (Python wheel タスクの場合)
* pipelineId (パイプライン タスクの場合)
* queryIds (SQL クエリ タスクの場合)
* alertId (SQL アラート タスクの場合)
* taskDependencies
* multitaskParentRunId
* orgId
* idInJob
* jobId
* jobTerminalState
* taskKey
* jobTriggerType
* jobTaskType
* runId
* runCreatorUserName
jobs runSucceeded ジョブ実行が成功する。 * idInJob
* jobId
* jobTriggerType
* orgId
* runId
* jobClusterType
* jobTaskType
* jobTerminalState
* runCreatorUserName
jobs runTriggered ジョブ スケジュールがそのスケジュールまたはトリガーに従って自動的にトリガーされる。 * jobId
* jobTriggeredType
* runId
jobs sendRunWebhook ジョブの開始時、完了時、または失敗時に Webhook が送信される。 * orgId
* jobId
* jobWebhookId
* jobWebhookEvent
* runId
jobs setTaskValue ユーザーがタスクの値を設定する。 * run_id
* key
jobs submitRun ユーザーが API 経由で 1 回限りの実行を送信する。 * shell_command_task
* run_name
* spark_python_task
* existing_cluster_id
* notebook_task
* timeout_seconds
* libraries
* new_cluster
* spark_jar_task
jobs update ユーザーがジョブの設定を編集する。 * job_id
* fields_to_remove
* new_settings
* is_from_dlt

Marketplace コンシューマー イベント

次の marketplaceConsumer イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
marketplaceConsumer getDataProduct ユーザーが Databricks Marketplace を通じてデータ製品にアクセスする。 * listing_id
* listing_name
* share_name
* catalog_name
* request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列
marketplaceConsumer requestDataProduct ユーザーがプロバイダーの承認を必要とするデータ製品へのアクセスを要求する。 * listing_id
* listing_name
* catalog_name
* request_context: データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列

Marketplace プロバイダー のイベント

次の marketplaceProvider イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
marketplaceProvider createListing メタストア管理者がプロバイダー プロファイルに一覧を作成する。 * listing: リストに関する詳細の配列
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider updateListing メタストア管理者がプロバイダー プロファイルの一覧を更新する。 * id
* listing: リストに関する詳細の配列
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider deleteListing メタストア管理者がプロバイダー プロファイルの一覧を削除する。 * id
* request_context: プロバイダーのアカウントとメタストアに関する詳細の配列
marketplaceProvider updateConsumerRequestStatus メタストア管理者がデータ製品の要求を承認または拒否する。 * listing_id
* request_id
* status
* reason
* share: 共有に関する情報の配列
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider createProviderProfile メタストア管理者がプロバイダー プロファイルを作成する。 * provider: プロバイダーに関する情報の配列
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider updateProviderProfile メタストア管理者がプロバイダー プロファイルを更新する。 * id
* provider: プロバイダーに関する情報の配列
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider deleteProviderProfile メタストア管理者がプロバイダー プロファイルを削除する。 * id
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider uploadFile プロバイダーがプロバイダー プロファイルにファイルをアップロードする。 * request_context: プロバイダーのアカウントとメタストアに関する情報の配列
* marketplace_file_type
* display_name
* mime_type
* file_parent: ファイルの親の詳細の配列
marketplaceProvider deleteFile プロバイダーがプロバイダー プロファイルからファイルを削除する。 * file_id
* request_context: プロバイダーのアカウントとメタストアに関する情報の配列

ACL イベントの MLflow 成果物

次の mlflowAcledArtifact イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
mlflowAcledArtifact readArtifact ユーザーが成果物を読み取る呼び出しを行う。 * artifactLocation
* experimentId
* runId
mlflowAcledArtifact writeArtifact ユーザーが成果物を書き込む呼び出しを行う。 * artifactLocation
* experimentId
* runId

MLflow 実験イベント

次の mlflowExperiment イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
mlflowExperiment createMlflowExperiment ユーザーが MLflow 実験を作成します。 * experimentId
* path
* experimentName
mlflowExperiment deleteMlflowExperiment ユーザーが MLflow 実験を削除する。 * experimentId
* path
* experimentName
mlflowExperiment moveMlflowExperiment ユーザーが MLflow 実験を移動する。 * newPath
* experimentId
* oldPath
mlflowExperiment restoreMlflowExperiment ユーザーが MLflow 実験を復元する。 * experimentId
* path
* experimentName
mlflowExperiment renameMlflowExperiment ユーザーが MLflow 実験の名前を変更する。 * oldName
* newName
* experimentId
* parentPath

MLflow モデル レジストリ イベント

次の mlflowModelRegistry イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
modelRegistry approveTransitionRequest ユーザーがモデル バージョンのステージ移行要求を承認する。 * name
* version
* stage
* archive_existing_versions
modelRegistry changeRegisteredModelAcl ユーザーが登録済みモデルのアクセス許可を更新する。 * registeredModelId
* userId
modelRegistry createComment ユーザーがモデル バージョンにコメントを投稿する。 * name
* version
modelRegistry createModelVersion ユーザーがモデル バージョンを作成する。 * name
* source
* run_id
* tags
* run_link
modelRegistry createRegisteredModel ユーザーが新しい登録済みモデルを作成する * name
* tags
modelRegistry createRegistryWebhook ユーザーがモデル レジストリ イベント用の Webhook を作成する。 * orgId
* registeredModelId
* events
* description
* status
* creatorId
* httpUrlSpec
modelRegistry createTransitionRequest ユーザーがモデル バージョンのステージ移行要求を作成する。 * name
* version
* stage
modelRegistry deleteComment ユーザーがモデル バージョンのコメントを削除する。 * id
modelRegistry deleteModelVersion ユーザーがモデル バージョンを削除する。 * name
* version
modelRegistry deleteModelVersionTag ユーザーがモデル バージョン タグを削除する。 * name
* version
* key
modelRegistry deleteRegisteredModel ユーザーが登録済みモデルを削除する * name
modelRegistry deleteRegisteredModelTag ユーザーが登録済みモデルのタグを削除する。 * name
* key
modelRegistry deleteRegistryWebhook ユーザーがモデル レジストリ Webhook を削除する。 * orgId
* webhookId
modelRegistry deleteTransitionRequest ユーザーがモデル バージョンのステージ移行要求を取り消す。 * name
* version
* stage
* creator
modelRegistry finishCreateModelVersionAsync 非同期のモデルのコピーが完了した。 * name
* version
modelRegistry generateBatchInferenceNotebook バッチ推論ノートブックが自動生成される。 * userId
* orgId
* modelName
* inputTableOpt
* outputTablePathOpt
* stageOrVersion
* modelVersionEntityOpt
* notebookPath
modelRegistry generateDltInferenceNotebook Delta Live Tables パイプラインの推論ノートブックが自動生成される。 * userId
* orgId
* modelName
* inputTable
* outputTable
* stageOrVersion
* notebookPath
modelRegistry getModelVersionDownloadUri ユーザーがモデル バージョンをダウンロードするための URI を取得する。 * name
* version
modelRegistry getModelVersionSignedDownloadUri ユーザーが署名済みモデル バージョンをダウンロードするための URI を取得する。 * name
* version
* path
modelRegistry listModelArtifacts ユーザーがモデルの成果物を一覧表示する呼び出しを行う。 * name
* version
* path
* page_token
modelRegistry listRegistryWebhooks ユーザーがモデル内のすべてのレジストリ Webhookを一覧表示する呼び出しを行う。 * orgId
* registeredModelId
modelRegistry rejectTransitionRequest ユーザーがモデル バージョンのステージ移行要求を拒否する。 * name
* version
* stage
modelRegistry renameRegisteredModel ユーザーが登録済みモデルの名前を変更する * name
* new_name
modelRegistry setEmailSubscriptionStatus ユーザーが登録済みモデルのメール サブスクリプションの状態を更新する
modelRegistry setModelVersionTag ユーザーがモデル バージョン タグを設定する。 * name
* version
* key
* value
modelRegistry setRegisteredModelTag ユーザーがモデル バージョン タグを設定する。 * name
* key
* value
modelRegistry setUserLevelEmailSubscriptionStatus ユーザーがレジストリ全体に対するメール通知の状態を更新する。 * orgId
* userId
* subscriptionStatus
modelRegistry testRegistryWebhook ユーザーがモデル レジストリ Webhook をテストする。 * orgId
* webhookId
modelRegistry transitionModelVersionStage ユーザーがモデル バージョンの未完了のすべてのステージ移行要求の一覧を取得する。 * name
* version
* stage
* archive_existing_versions
modelRegistry triggerRegistryWebhook モデル レジストリ Webhook がイベントによってトリガーされる。 * orgId
* registeredModelId
* events
* status
modelRegistry updateComment ユーザーがモデル バージョンのコメントに編集を投稿する。 * id
modelRegistry updateRegistryWebhook ユーザーがモデル レジストリ Webhook を更新する。 * orgId
* webhookId

モデル サービング イベント

次の serverlessRealTimeInference イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
serverlessRealTimeInference changeInferenceEndpointAcl ユーザーが推論エンドポイントのアクセス許可を更新する。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
serverlessRealTimeInference createServingEndpoint ユーザーが Model Serving エンドポイントを作成する。 * name
* config
serverlessRealTimeInference deleteServingEndpoint ユーザーが Model Serving エンドポイントを削除する。 * name
serverlessRealTimeInference disable ユーザーが登録済みモデルの Model Serving を無効にする。 * registered_mode_name
serverlessRealTimeInference enable ユーザーが登録済みモデルの Model Serving を有効にする。 * registered_mode_name
serverlessRealTimeInference getQuerySchemaPreview ユーザーがクエリ スキーマ プレビューを取得するための呼び出しを行う。 * endpoint_name
serverlessRealTimeInference updateServingEndpoint ユーザーが Model Serving エンドポイントを更新する。 * name
* served_models
* traffic_config

ノートブック イベント

次の notebook イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
notebook attachNotebook ノートブックがクラスターにアタッチされる。 * path
* clusterId
* notebookId
notebook cloneNotebook ユーザーがノートブックを複製する。 * notebookId
* path
* clonedNotebookId
* destinationPath
notebook createNotebook ノートブックが作成される。 * notebookId
* path
notebook deleteFolder ノートブック フォルダーが削除される。 * path
notebook deleteNotebook ノートブックが削除される。 * notebookId
* notebookName
* path
notebook detachNotebook ノートブックがクラスターからデタッチされる。 * notebookId
* clusterId
* path
notebook downloadLargeResults ユーザーがノートブックに表示するには大きすぎるクエリ結果をダウンロードする。 * notebookId
* notebookFullPath
notebook downloadPreviewResults ユーザーがクエリ結果をダウンロードする。 * notebookId
* notebookFullPath
notebook importNotebook ユーザーがノートブックをインポートする。 * path
notebook moveFolder ノートブック フォルダーがある場所から別の場所に移動される。 * oldPath
* newPath
* folderId
notebook moveNotebook ノートブックがある場所から別の場所に移動される。 * newPath
* oldPath
* notebookId
notebook renameNotebook ノートブックの名前が変更される。 * newName
* oldName
* parentPath
* notebookId
notebook restoreFolder 削除されたフォルダーが復元される。 * path
notebook restoreNotebook 削除されたノートブックが復元される。 * path
* notebookId
* notebookName
notebook runCommand 詳細監査ログが有効になっているときに使用可能。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドは、ノートブック内のセルに対応します。

executionTime は秒単位で測定されます。
* notebookId
* executionTime
* status
* commandId
* commandText
* commandLanguage
notebook takeNotebookSnapshot ジョブ サービスまたは MLflow の実行時にノートブック スナップショットが作成される。 * path

Partner Connect イベント

次の partnerHub イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
partnerHub createOrReusePartnerConnection ワークスペース管理者がパートナー ソリューションへの接続を設定する。 * partner_name
partnerHub deletePartnerConnection ワークスペース管理者がパートナー接続を削除する。 * partner_name
partnerHub downloadPartnerConnectionFile ワークスペース管理者がパートナー接続ファイルをダウンロードする。 * partner_name
partnerHub setupResourcesForPartnerConnection ワークスペース管理者がパートナー接続のリソースを設定する。 * partner_name

リモート履歴サービス イベント

次の remoteHistoryService イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
remoteHistoryService addUserGitHubCredentials ユーザーが Github 資格情報を追加する なし
remoteHistoryService deleteUserGitHubCredentials ユーザーが Github 資格情報を削除する なし
remoteHistoryService updateUserGitHubCredentials ユーザーが Github 資格情報を更新する なし

Git フォルダー イベント

次の repos イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
repos checkoutBranch ユーザーがリポジトリのブランチをチェックアウトする。 * id
* branch
repos commitAndPush ユーザーがリポジトリにコミットしてプッシュする。 * id
* message
* files
* checkSensitiveToken
repos createRepo ユーザーがワークスペースにリポジトリを作成する * url
* provider
* path
repos deleteRepo ユーザーがリポジトリを削除する。 * id
repos discard ユーザーがリポジトリへのコミットを破棄する。 * id
* file_paths
repos getRepo ユーザーが 1 つのリポジトリに関する情報を取得する呼び出しを行う。 * id
repos listRepos ユーザーが管理アクセス許可を持つすべてのリポジトリを取得する呼び出しを行う。 * path_prefix
* next_page_token
repos pull ユーザーがリポジトリから最新のコミットをプルする。 * id
repos updateRepo ユーザーがリポジトリを別のブランチまたはタグ、あるいは同じブランチの最新のコミットに更新する。 * id
* branch
* tag
* git_url
* git_provider

シークレット イベント

次の secrets イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
secrets createScope ユーザーがシークレット スコープを作成する。 * scope
* initial_manage_principal
* scope_backend_type
secrets deleteAcl ユーザーがシークレット スコープの ACL を削除する。 * scope
* principal
secrets deleteScope ユーザーがシークレット スコープを削除する。 * scope
secrets deleteSecret ユーザーがスコープからシークレットを削除する。 * key
* scope
secrets getAcl ユーザーがシークレット スコープの ACL を取得する。 * scope
* principal
secrets getSecret ユーザーがスコープからシークレットを取得する。 * key
* scope
secrets listAcls ユーザーがシークレット スコープの ACL を一覧表示する呼び出しを行う。 * scope
secrets listScopes ユーザーがシークレット スコープを一覧表示する呼び出しを行う なし
secrets listSecrets ユーザーがスコープ内のシークレットを一覧表示する呼び出しを行う。 * scope
secrets putAcl ユーザーがシークレット スコープの ACL を変更する。 * scope
* principal
* permission
secrets putSecret ユーザーがスコープ内でシークレットを追加または編集する。 * string_value
* key
* scope

SQL テーブルへのアクセス イベント

注意

sqlPermissions サービスには、レガシの Hive メタストア テーブル アクセス制御に関連するイベントが含まれています。 Databricks では、Hive メタストアによって管理されるテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。

次の sqlPermissions イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
sqlPermissions changeSecurableOwner オブジェクトのワークスペース管理者または所有者がオブジェクトの所有権を譲渡する。 * securable
* principal
sqlPermissions createSecurable ユーザーがセキュリティ保護可能なオブジェクトを作成する。 * securable
sqlPermissions denyPermission オブジェクト所有者がセキュリティ保護可能なオブジェクトに対する特権を拒否する。 * permission
sqlPermissions grantPermission オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対するアクセス許可を付与する。 * permission
sqlPermissions removeAllPermissions ユーザーがセキュリティ保護可能なオブジェクトをドロップする。 * securable
sqlPermissions renameSecurable ユーザーがセキュリティ保護可能なオブジェクトの名前を変更する。 * before
* after
sqlPermissions requestPermissions ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求する。 * requests
sqlPermissions revokePermission オブジェクト所有者がセキュリティ保護可能なオブジェクトに対するアクセス許可を取り消す。 * permission
sqlPermissions showPermissions ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を表示する。 * securable
* principal

SSH イベント

次の ssh イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
ssh login Spark ドライバーへの SSH のエージェント ログイン。 * containerId
* userName
* port
* publicKey
* instanceId
ssh logout Spark ドライバーからの SSH のエージェント ログアウト。 * userName
* containerId
* instanceId

ベクトル検索イベント

次の vectorSearch イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
vectorSearch createEndpoint ユーザーがベクトル検索エンドポイントを作成します。 * name
* endpoint_type
vectorSearch deleteEndpoint ユーザーがベクトル検索エンドポイントを削除します。 * name
vectorSearch createVectorIndex ユーザーがベクトル検索インデックスを作成します。 * name
* endpoint_name
* primary_key
* index_type
* delta_sync_index_spec
* direct_access_index_spec
vectorSearch deleteVectorIndex ユーザーがベクトル検索インデックスを削除します。 * name
* endpoint_name
* delete_embedding_writeback_table

Web ターミナル イベント

次の webTerminal イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
webTerminal startSession ユーザーが Web ターミナル セッションを開始する。 * socketGUID
* clusterId
* serverPort
* ProxyTargetURI
webTerminal closeSession ユーザーが Web ターミナル セッションを終了する。 * socketGUID
* clusterId
* serverPort
* ProxyTargetURI

ワークスペース イベント

次の workspace イベントがワークスペース レベルでログされます。

サービス アクション名 説明 要求パラメーター
workspace changeWorkspaceAcl ワークスペースへのアクセス許可が変更される。 * shardName
* targetUserId
* aclPermissionSet
* resourceId
workspace deleteSetting ワークスペースから設定が削除される。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
workspace fileCreate ユーザーがワークスペースにファイルを作成する。 * path
workspace fileDelete ユーザーがワークスペース内のファイルを削除する。 * path
workspace fileEditorOpenEvent ユーザーがファイル エディターを開く。 * notebookId
* path
workspace getRoleAssignment ユーザーがワークスペースのユーザー ロールを取得する。 * account_id
* workspace_id
workspace mintOAuthAuthorizationCode 社内の OAuth 認可コードがワークスペース レベルで作成されたときに記録される。 * client_id
workspace mintOAuthToken OAuth トークンがワークスペースに対して作成される。 * grant_type
* scope
* expires_in
* client_id
workspace moveWorkspaceNode ワークスペース管理者がワークスペース ノードを移動する。 * destinationPath
* path
workspace purgeWorkspaceNodes ワークスペース管理者がワークスペース ノードを消去する。 * treestoreId
workspace reattachHomeFolder ワークスペースに再追加されたユーザーに対して既存のホーム フォルダーが再アタッチされる。 * path
workspace renameWorkspaceNode ワークスペース管理者がワークスペース ノードの名前を変更する。 * path
* destinationPath
workspace unmarkHomeFolder ユーザーがワークスペースから削除されるときに、ホーム フォルダーの特殊な属性が削除される。 * path
workspace updateRoleAssignment ワークスペース管理者がワークスペース ユーザーのロールを更新する。 * account_id
* workspace_id
* principal_id
workspace setSetting ワークスペース管理者がワークスペース設定を構成する。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
workspace workspaceConfEdit ワークスペース管理者が設定を更新する (詳細監査ログの有効化など)。 * workspaceConfKeys
* workspaceConfValues
workspace workspaceExport ユーザーがワークスペースからノートブックをエクスポートする。 * workspaceExportDirectDownload
* workspaceExportFormat
* notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth クライアントがワークスペース サービスで認証される。 * user

課金対象使用状況のイベント

次の accountBillableUsage イベントがアカウント レベルでログされます。

サービス Action 説明 要求パラメーター
accountBillableUsage getAggregatedUsage ユーザーが、使用状況グラフ機能を使用し、アカウントに対して集計された課金対象使用状況 (1 日あたりの使用量) にアクセスした。 * account_id
* window_size
* start_time
* end_time
* meter_name
* workspace_ids_filter
accountBillableUsage getDetailedUsage ユーザーが、使用状況のダウンロード機能を使用し、アカウントに対する詳細な課金対象使用状況 (クラスターあたりの使用量) にアクセスした。 * account_id
* start_month
* end_month
* with_pii

アカウント レベルのアカウント イベント

次の accounts イベントがアカウント レベルでログされます。

サービス Action 説明 要求パラメーター
accounts accountInHouseOAuthClientAuthentication OAuth クライアントが認証される。 * endpoint
accounts accountIpAclsValidationFailed IP アクセス許可の検証が失敗する。 statusCode 403 が返される。 * sourceIpAddress
* user: メール アドレスとしてログされる
accounts activateUser ユーザーが、非アクティブ化された後に再アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。 * targetUserName
* endpoint
* targetUserId
accounts add ユーザーが Azure Databricks アカウントに追加される。 * targetUserName
* endpoint
* targetUserId
accounts addPrincipalToGroup ユーザーがアカウント レベルのグループに追加される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts addPrincipalsToGroup ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループに追加される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts createGroup アカウント レベルのグループが作成される。 * endpoint
* targetGroupId
* targetGroupName
accounts deactivateUser ユーザーが非アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。 * targetUserName
* endpoint
* targetUserId
accounts delete ユーザーが Azure Databricks アカウントから削除される。 * targetUserId
* targetUserName
* endpoint
accounts deleteSetting アカウント管理者が Azure Databricks アカウントから設定を削除する。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
accounts garbageCollectDbToken ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。 * tokenExpirationTime
* tokenClientId
* userId
* tokenCreationTime
* tokenFirstAccessed
accounts generateDbToken ユーザーが [ユーザー設定] からトークンを生成するか、サービスがトークンを生成する。 * tokenExpirationTime
* tokenCreatedBy
* tokenHash
* userId
accounts login ユーザーがアカウント コンソールにログインする。 * user
accounts logout ユーザーがアカウント コンソールからログアウトする。 * user
accounts oidcBrowserLogin ユーザーが OpenID Connect ブラウザー ワークフローを使用して自分のアカウントにログインする。 * user
accounts oidcTokenAuthorization OIDC トークンがアカウント管理者ログインに対して認証される。 * user
accounts removeAccountAdmin アカウント管理者がアカウント管理者のアクセス許可を別のユーザーから削除する。 * targetUserName
* endpoint
* targetUserId
accounts removeGroup グループがアカウントから削除される。 * targetGroupId
* targetGroupName
* endpoint
accounts removePrincipalFromGroup ユーザーがアカウントレベルのグループから削除される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts removePrincipalsFromGroup ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループから削除される。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts setAccountAdmin アカウント管理者がアカウント管理者ロールを別のユーザーに割り当てる。 * targetUserName
* endpoint
* targetUserId
accounts setSetting アカウント管理者がアカウントレベルの設定を更新する。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
accounts tokenLogin ユーザーがトークンを使用して Databricks にログインする。 * tokenId
* user
accounts updateUser アカウント管理者がユーザー アカウントを更新する。 * targetUserName
* endpoint
* targetUserId
accounts updateGroup アカウント管理者がアカウントレベルのグループを更新する。 * endpoint
* targetGroupId
* targetGroupName
accounts validateEmail ユーザーがアカウントの作成後にメールを検証するとき。 * endpoint
* targetUserName
* targetUserId

アカウントレベルのアクセス制御イベント

次の accountsAccessControl イベントがアカウント レベルでログされます。

サービス Action 説明 要求パラメーター
accountsAccessControl updateRuleSet ルール セットが変更されたとき。 * account_id
* name
* rule_set

アカウント管理イベント

次の accountsManager イベントがアカウント レベルでログされます。 これらのイベントは、アカウント コンソールでアカウント管理者が行う構成と関連しています。

サービス Action 説明 要求パラメーター
accountsManager createNetworkConnectivityConfig アカウント管理者がネットワーク接続構成を作成しました。 * network_connectivity_config
accountsManager getNetworkConnectivityConfig アカウント管理者がネットワーク接続構成に関する詳細を要求します。 * account_id
* network_connectivity_config_id
accountsManager listNetworkConnectivityConfigs アカウント管理者がアカウント内のすべてのネットワーク接続構成を一覧表示します。 * account_id
accountsManager deleteNetworkConnectivityConfig アカウント管理者がネットワーク接続構成を削除しました。 * account_id
* network_connectivity_config_id
accountsManager createNetworkConnectivityConfigPrivateEndpointRule アカウント管理者がプライベート エンドポイントルールを作成しました。 * account_id
* network_connectivity_config_id
* azure_private_endpoint_rule
accountsManager getNetworkConnectivityConfigPrivateEndpointRule アカウント管理者がプライベート エンドポイントルールに関する詳細を要求します。 * account_id
* network_connectivity_config_id
* rule_id
accountsManager listNetworkConnectivityConfigPrivateEndpointRules アカウント管理者がネットワーク接続構成の下にあるすべてのプライベート エンドポイントルールを一覧表示します。 * account_id
* network_connectivity_config_id
accountsManager deleteNetworkConnectivityConfigPrivateEndpointRule アカウント管理者がプライベート エンドポイントルールを削除しました。 * account_id
* network_connectivity_config_id
* rule_id
accountsManager updateNetworkConnectivityConfigPrivateEndpointRule アカウント管理者がプライベート エンドポイントルールを更新しました。 * account_id
* network_connectivity_config_id
* rule_id
* azure_private_endpoint_rule

Unity Catalog イベント

次の診断イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスの下でログに記録されます。 Delta Sharing イベントについては、「Delta Sharing イベント」参照してください。 Unity Catalog 監視イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログできます。

サービス Action 説明 要求パラメーター
unityCatalog createMetastore アカウント管理者がメタストアを作成する。 * name
* storage_root
* workspace_id
* metastore_id
unityCatalog getMetastore アカウント管理者がメタストア ID を要求する。 * id
* workspace_id
* metastore_id
unityCatalog getMetastoreSummary アカウント管理者がメタストアに関する詳細を要求する。 * workspace_id
* metastore_id
unityCatalog listMetastores アカウント管理者がアカウント内のすべてのメタストアの一覧を要求する。 * workspace_id
unityCatalog updateMetastore アカウント管理者がメタストアを更新する。 * id
* owner
* workspace_id
* metastore_id
unityCatalog deleteMetastore アカウント管理者がメタストアを削除する。 * id
* force
* workspace_id
* metastore_id
unityCatalog updateMetastoreAssignment アカウント管理者がメタストアのワークスペース割り当てを更新する。 * workspace_id
* metastore_id
* default_catalog_name
unityCatalog createExternalLocation アカウント管理者が外部の場所を作成する。 * name
* skip_validation
* url
* credential_name
* workspace_id
* metastore_id
unityCatalog getExternalLocation アカウント管理者が外部の場所に関する詳細を要求する。 * name_arg
* include_browse
* workspace_id
* metastore_id
unityCatalog listExternalLocations アカウント管理者がアカウント内のすべての外部の場所の一覧を要求する。 * url
* max_results
* workspace_id
* metastore_id
unityCatalog updateExternalLocation アカウント管理者が外部の場所を更新する。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog deleteExternalLocation アカウント管理者が外部の場所を削除する。 * name_arg
* force
* workspace_id
* metastore_id
unityCatalog createCatalog ユーザーがカタログを作成する。 * name
* comment
* workspace_id
* metastore_id
unityCatalog deleteCatalog ユーザーがカタログを削除する。 * name_arg
* workspace_id
* metastore_id
unityCatalog getCatalog ユーザーがカタログに関する詳細を要求する。 * name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog updateCatalog ユーザーがカタログを更新する。 * name_arg
* isolation_mode
* comment
* workspace_id
* metastore_id
unityCatalog listCatalog ユーザーがメタストア内のすべてのカタログを一覧表示する呼び出しを行う。 * name_arg
* workspace_id
* metastore_id
unityCatalog createSchema ユーザーがスキーマを作成する。 * name
* catalog_name
* comment
* workspace_id
* metastore_id
unityCatalog deleteSchema ユーザーがスキーマを削除する。 * full_name_arg
* force
* workspace_id
* metastore_id
unityCatalog getSchema ユーザーがスキーマに関する詳細を要求する。 * full_name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog listSchema ユーザーがカタログ内のすべてのスキーマの一覧を要求する。 * catalog_name
unityCatalog updateSchema ユーザーがスキーマを更新する。 * full_name_arg
* name
* workspace_id
* metastore_id
* comment
unityCatalog createStagingTable * name
* catalog_name
* schema_name
* workspace_id
* metastore_id
unityCatalog createTable ユーザーがテーブルを作成する。 要求パラメーターは、作成されたテーブルの種類によって異なります。 * name
* data_source_format
* catalog_name
* schema_name
* storage_location
* columns
* dry_run
* table_type
* view_dependencies
* view_definition
* sql_path
* comment
unityCatalog deleteTable ユーザーがテーブルを削除する。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog getTable ユーザーがテーブルに関する詳細を要求する。 * include_delta_metadata
* full_name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog privilegedGetTable * full_name_arg
unityCatalog listTables ユーザーがスキーマ内のすべてのテーブルを一覧表示する呼び出しを行う。 * catalog_name
* schema_name
* workspace_id
* metastore_id
* include_browse
unityCatalog listTableSummaries ユーザーがメタストア内のスキーマとカタログについてのテーブルのまとめの配列を取得する。 * catalog_name
* schema_name_pattern
* workspace_id
* metastore_id
unityCatalog updateTables ユーザーがテーブルを更新する。 表示される要求パラメーターは、行われたテーブル更新の種類によって異なります。 * full_name_arg
* table_type
* table_constraint_list
* data_source_format
* columns
* dependent
* row_filter
* storage_location
* sql_path
* view_definition
* view_dependencies
* owner
* comment
* workspace_id
* metastore_id
unityCatalog createStorageCredential アカウント管理者がストレージ資格情報を作成する。 クラウド プロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。 * name
* comment
* workspace_id
* metastore_id
unityCatalog listStorageCredentials アカウント管理者がアカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行う。 * workspace_id
* metastore_id
unityCatalog getStorageCredential アカウント管理者がストレージ資格情報に関する詳細を要求する。 * name_arg
* workspace_id
* metastore_id
unityCatalog updateStorageCredential アカウント管理者がストレージ資格情報を更新する。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog deleteStorageCredential アカウント管理者がストレージ資格情報を削除する。 * name_arg
* workspace_id
* metastore_id
unityCatalog generateTemporaryTableCredential テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して誰が何をいつクエリしたかを判断できます。 * credential_id
* credential_type
* is_permissions_enforcing_client
* table_full_name
* operation
* table_id
* workspace_id
* table_url
* metastore_id
unityCatalog generateTemporaryPathCredential パスに対して一時的な資格情報が付与されるたびにログに記録されます。 * url
* operation
* make_path_only_parent
* workspace_id
* metastore_id
unityCatalog getPermissions ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得する呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog getEffectivePermissions ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得する呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog updatePermissions ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を更新する。 * securable_type
* changes
* securable_full_name
* workspace_id
* metastore_id
unityCatalog metadataSnapshot ユーザーが以前のテーブル バージョンのメタデータに対してクエリを実行する。 * securables
* include_delta_metadata
* workspace_id
* metastore_id
unityCatalog metadataAndPermissionsSnapshot ユーザーが以前のテーブル バージョンのメタデータとアクセス許可に対してクエリを実行する。 * securables
* include_delta_metadata
* workspace_id
* metastore_id
unityCatalog updateMetadataSnapshot ユーザーが以前のテーブル バージョンのメタデータを更新する。 * table_list_snapshots
* schema_list_snapshots
* workspace_id
* metastore_id
unityCatalog getForeignCredentials ユーザーが外部キーに関する詳細を取得する呼び出しを行う。 * securables
* workspace_id
* metastore_id
unityCatalog getInformationSchema ユーザーがスキーマに関する詳細を取得する呼び出しを行う。 * table_name
* page_token
* required_column_names
* row_set_type
* required_column_names
* workspace_id
* metastore_id
unityCatalog createConstraint ユーザーがテーブルの制約を作成する。 * full_name_arg
* constraint
* workspace_id
* metastore_id
unityCatalog deleteConstraint ユーザーがテーブルの制約を削除する。 * full_name_arg
* constraint
* workspace_id
* metastore_id
unityCatalog createPipeline ユーザーが Unity Catalog パイプラインを作成する。 * target_catalog_name
* has_workspace_definition
* id
* workspace_id
* metastore_id
unityCatalog updatePipeline ユーザーが Unity Catalog パイプラインを更新する。 * id_arg
* definition_json
* id
* workspace_id
* metastore_id
unityCatalog getPipeline ユーザーが Unity Catalog パイプラインに関する詳細を要求する。 * id
* workspace_id
* metastore_id
unityCatalog deletePipeline ユーザーが Unity Catalog パイプラインを削除する。 * id
* workspace_id
* metastore_id
unityCatalog deleteResourceFailure リソースの削除に失敗する なし
unityCatalog createVolume ユーザーが Unity Catalog ボリュームを作成する。 * name
* catalog_name
* schema_name
* volume_type
* storage_location
* owner
* comment
* workspace_id
* metastore_id
unityCatalog getVolume ユーザーが Unity Catalog ボリュームに関する情報を取得するための呼び出しを行う。 * volume_full_name
* workspace_id
* metastore_id
unityCatalog updateVolume ユーザーは、ALTER VOLUME または COMMENT ON を呼び出して Unity Catalog ボリュームのメタデータを更新します。 * volume_full_name
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteVolume ユーザーが Unity Catalog ボリュームを削除する。 * volume_full_name
* workspace_id
* metastore_id
unityCatalog listVolumes ユーザーが呼び出しを行って、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得する。 * catalog_name
* schema_name
* workspace_id
* metastore_id
unityCatalog generateTemporaryVolumeCredential ユーザーがボリュームに対して読み取りまたは書き込みを実行すると、一時的な資格情報が生成されます。 このイベントを使用して誰がいつボリュームにアクセスしたかを判断できます。 * volume_id
* volume_full_name
* operation
* volume_storage_location
* credential_id
* credential_type
* workspace_id
* metastore_id
unityCatalog getTagSecurableAssignments セキュリティ保護可能なタグの割り当てが取得されます * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog getTagSubentityAssignments サブエンティティのタグ割り当てが取得されます * securable_type
* securable_full_name
* workspace_id
* metastore_id
* subentity_name
unityCatalog UpdateTagSecurableAssignments セキュリティ保護可能なタグの割り当てが更新されます * securable_type
* securable_full_name
* workspace_id
* metastore_id
* changes
unityCatalog UpdateTagSubentityAssignments サブエンティティのタグ割り当てが更新されます * securable_type
* securable_full_name
* workspace_id
* metastore_id
* subentity_name
* changes
unityCatalog createRegisteredModel ユーザーが Unity Catalog 登録済みモデルを作成する。 * name
* catalog_name
* schema_name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog getRegisteredModel ユーザーが Unity Catalog 登録済みのモデルに関する情報を取得するための呼び出しを行う。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog updateRegisteredModel ユーザーが Unity Catalog 登録済みモデルのメタデータを更新する。 * full_name_arg
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteRegisteredModel ユーザーが Unity Catalog 登録済みモデルを削除する。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog listRegisteredModels ユーザーが、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ全体でモデルを一覧表示する呼び出しを行う。 * catalog_name
* schema_name
* max_results
* page_token
* workspace_id
* metastore_id
unityCatalog createModelVersion ユーザーが Unity Catalog にモデル バージョンを作成する。 * catalog_name
* schema_name
* model_name
* source
* comment
* workspace_id
* metastore_id
unityCatalog finalizeModelVersion ユーザーがモデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「最終処理」する呼び出しを行い、推論ワークフローで読み取り専用で使用できるようにする。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog getModelVersion ユーザーがモデル バージョンに関する詳細を取得する呼び出しを行う。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog getModelVersionByAlias ユーザーが別名を使用してモデル バージョンに関する詳細を取得する呼び出しを行う。 * full_name_arg
* include_aliases
* alias_arg
* workspace_id
* metastore_id
unityCatalog updateModelVersion モデル バージョンのメタデータを更新する。 * full_name_arg
* version_arg
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteModelVersion ユーザーがモデル バージョンを削除する。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog listModelVersions ユーザーが登録済みモデル内の Unity Catalog モデル バージョンの一覧を取得するための呼び出しを行う。 * catalog_name
* schema_name
* model_name
* max_results
* page_token
* workspace_id
* metastore_id
unityCatalog generateTemporaryModelVersionCredential 一時的な資格情報は、ユーザーがモデル バージョンで書き込み (最初のモデル バージョンの作成中) または読み取り (モデル バージョンが終了した後) を実行したときに生成されます。 このイベントを使用して誰がいつモデル バージョンにアクセスしたかを判断できます。 * full_name_arg
* version_arg
* operation
* model_version_url
* credential_id
* credential_type
* workspace_id
* metastore_id
unityCatalog setRegisteredModelAlias ユーザーが Unity Catalog 登録済みモデルに別名を設定する。 * full_name_arg
* alias_arg
* version
unityCatalog deleteRegisteredModelAlias ユーザーが Unity Catalog 登録済みモデルの別名を削除する。 * full_name_arg
* alias_arg
unityCatalog getModelVersionByAlias ユーザーが別名で Unity Catalog モデル バージョンを取得する。 * full_name_arg
* alias_arg
unityCatalog createConnection 新しい外部接続が作成される。 * name
* connection_type
* workspace_id
* metastore_id
unityCatalog deleteConnection 外部接続が削除される。 * name_arg
* workspace_id
* metastore_id
unityCatalog getConnection 外部接続が取得される。 * name_arg
* workspace_id
* metastore_id
unityCatalog updateConnection 外部接続が更新される。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog listConnections メタストア内の外部接続が一覧表示される。 * workspace_id
* metastore_id
unityCatalog createFunction ユーザーが新しい関数を作成する。 * function_info
* workspace_id
* metastore_id
unityCatalog updateFunction ユーザーが関数を更新する。 * full_name_arg
* owner
* workspace_id
* metastore_id
unityCatalog listFunctions ユーザーが特定の親カタログまたはスキーマ内にあるすべての関数のリストを要求する。 * catalog_name
* schema_name
* include_browse
* workspace_id
* metastore_id
unityCatalog getFunction ユーザーが親カタログまたはスキーマに関数を要求する。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog deleteFunction ユーザーが親カタログまたはスキーマに関数を要求する。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog createShareMarketplaceListingLink * links_infos
* metastore_id
unityCatalog deleteShareMarketplaceListingLink * links_infos
* metastore_id

Delta Sharing イベント

Delta Sharing イベントは、データ プロバイダー アカウントに記録されたイベントと、データ受信者アカウントに記録されたイベントの 2 つのセクションに分かれています。

Delta Sharing プロバイダー イベント

次の監査ログ イベントは、プロバイダーのアカウントのログに記録されます。 受信者によって実行されるアクションは、deltaSharing プレフィックスで始まります。 その各ログには、request_params.metastore_id (共有データを管理するメタストア) と、userIdentity.email (アクティビティを開始したユーザーの ID) も含まれます。

サービス Action 説明 要求パラメーター
unityCatalog deltaSharingListShares データ受信者が共有リストを要求する。 * options: この要求で提供される改ページオプション。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingGetShare データ受信者が共有に関する詳細を要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListSchemas データ受信者が共有スキーマを要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* options: この要求で提供される改ページオプション。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListAllTables データ受信者がすべての共有テーブルのリストを要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListTables データ受信者が共有テーブル リストを要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* options: この要求で提供される改ページオプション。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingGetTableMetadata データ受信者がテーブルのメタデータに関する詳細を要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* schema: スキーマの名前。
* name: テーブルの名前。
* predicateHints: クエリに含まれる述語。
* limitHints: 返す最大行数。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingGetTableVersion データ受信者がテーブル バージョンに関する詳細を要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* schema: スキーマの名前。
* name: テーブルの名前。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingQueryTable データ受信者が共有テーブルにクエリを実行したときにログに記録される。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* schema: スキーマの名前。
* name: テーブルの名前。
* predicateHints: クエリに含まれる述語。
* limitHints: 返す最大行数。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingQueryTableChanges データ受信者がテーブルの変更データにクエリを実行したときにログに記録される。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* schema: スキーマの名前。
* name: テーブルの名前。
* cdf_options: データ フィード のオプションを変更します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingQueriedTable データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照) * recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingQueriedTableChanges データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照)。 * recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListNotebookFiles データ受信者が共有ノートブック ファイルのリストを要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingQueryNotebookFile データ受信者が共有ノートブック ファイルにクエリを実行する。 * file_name: ノートブック ファイルの名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListFunctions データ受信者が、親スキーマ内の関数のリストを要求する。 * share: 共有の名前。
* schema: 関数の親スキーマの名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListAllFunctions データ受信者がすべての共有関数のリストを要求する。 * share: 共有の名前。
* schema: 関数の親スキーマの名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListFunctionVersions データ受信者が関数バージョンのリストを要求する。 * share: 共有の名前。
* schema: 関数の親スキーマの名前。
* function: 関数の名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListVolumes データ受信者がスキーマ内の共有ボリュームのリストを要求する。 * share: 共有の名前。
* schema: ボリュームの親スキーマ。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog deltaSharingListAllVolumes データ受信者がすべての共有ボリュームを要求する。 * share: 共有の名前。
* recipient_name: アクションを実行している受信者を示します。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog updateMetastore プロバイダーがメタストアを更新する。 * delta_sharing_scope: 値は INTERNAL または INTERNAL_AND_EXTERNAL にできる。
* delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合は、受信者トークンの有効期間が更新されたことを示します。
unityCatalog createRecipient プロバイダーがデータ受信者を作成する。 * name: 受信者の名前。
* comment: 受信者のコメント。
* ip_access_list.allowed_ip_addresses: 受信者 IP アドレス許可リスト。
unityCatalog deleteRecipient プロバイダーがデータ受信者を削除する。 * name: 受信者の名前。
unityCatalog getRecipient プロバイダーがデータ受信者に関する詳細を要求する。 * name: 受信者の名前。
unityCatalog listRecipients プロバイダーがすべてのデータ受信者のリストを要求する。 なし
unityCatalog rotateRecipientToken プロバイダーが受信者のトークンのローテーションを行う。 * name: 受信者の名前。
* comment: ローテーション コマンドで指定されたコメント。
unityCatalog updateRecipient プロバイダーがデータ受信者の属性を更新する。 * name: 受信者の名前。
* updates: 共有に対して追加または削除された受信者属性の JSON 表現。
unityCatalog createShare プロバイダーがデータ受信者の属性を更新する。 * name: 共有の名前。
* comment: 共有のコメント。
unityCatalog deleteShare プロバイダーがデータ受信者の属性を更新する。 * name: 共有の名前。
unityCatalog getShare プロバイダーが共有に関する詳細を要求する。 * name: 共有の名前。
* include_shared_objects: 共有のテーブル名が要求に含まれていたかどうか。
unityCatalog updateShare プロバイダーが共有からデータ資産を追加または削除する。 * name: 共有の名前。
* updates: 共有に対して追加または削除されたデータ資産の JSON 表現。 各項目には、action (追加または削除)、name (テーブルの実際の名前)、shared_as (資産の共有された名前 (実際の名前と異なる場合))、および partition_specification (パーテションの仕様が指定されていた場合) が含まれる。
unityCatalog listShares プロバイダーが共有リストを要求する。 なし
unityCatalog getSharePermissions プロバイダーが共有のアクセス許可に関する詳細を要求する。 * name: 共有の名前。
unityCatalog updateSharePermissions プロバイダーは共有のアクセス許可を更新する。 * name: 共有の名前。
* changes: 更新されたアクセス許可の JSON 表現。 各変更には、principal (アクセス許可を付与または取り消すユーザーまたはグループ)、add (付与されたアクセス許可のリスト)、および remove (取り消されたアクセス許可のリスト) が含まれる。
unityCatalog getRecipientSharePermissions プロバイダーが受信者の共有アクセス許可に関する詳細を要求する。 * name: 共有の名前。
unityCatalog getActivationUrlInfo プロバイダーがアクティブ化リンクのアクティビティに関する詳細を要求する。 * recipient_name: アクティブ化 URL を開いた受信者の名前。
* is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、および要求が拒否されなかった場合は falsesourceIPaddress は受信者の IP アドレス。
unityCatalog generateTemporaryVolumeCredential 受信者が共有ボリュームにアクセスするための一時的な資格情報が生成される。 * share_name: 受信者が要求するときに経由する共有の名前。
* share_id: 共有の ID。
* share_owner: 共有の所有者。
* recipient_name: 資格情報を要求する受信者の名前。
* recipient_id: 受信者の ID。
* volume_full_name: ボリュームの完全な 3 レベルの名前。
* volume_id: ボリュームの ID。
* volume_storage_location: ボリューム ルートのクラウド パス。
* operation: READ_VOLUME または WRITE_VOLUME のいずれか。 ボリューム共有の場合は、READ_VOLUME だけがサポートされます。
* credential_id: 資格情報の ID。
* credential_type: 資格情報の種類。 値は常に StorageCredential
* workspace_id: 共有ボリュームに対する要求の場合、値は常に 0
unityCatalog generateTemporaryTableCredential 受信者が共有テーブルにアクセスするための一時的な資格情報が生成される。 * share_name: 受信者が要求するときに経由する共有の名前。
* share_id: 共有の ID。
* share_owner: 共有の所有者。
* recipient_name: 資格情報を要求する受信者の名前。
* recipient_id: 受信者の ID。
* table_full_name: ボリュームの完全な 3 レベルの名前。
* table_id: テーブルの ID。
* table_url: テーブル ルートのクラウド パス。
* operation: READ または READ_WRITE のいずれか。
* credential_id: 資格情報の ID。
* credential_type: 資格情報の種類。 値は常に StorageCredential
* workspace_id: 共有テーブルに対する要求の場合は常に 0

Delta Sharing 受信者イベント

次のイベントは、データ受信者のアカウントのログに記録されます。 これらのイベントにより、共有データと AI 資産の受信者アクセスと、プロバイダーの管理に関連付けられているイベントが記録されます。 これらの各イベントには、次の要求パラメーターも含まれています。

  • recipient_name: データ プロバイダーのシステム内の受信者の名前。
  • metastore_id: データ プロバイダーのシステム内のメタストアの名前。
  • sourceIPAddress: 要求元の IP アドレス。
サービス Action 説明 要求パラメーター
unityCatalog deltaSharingProxyGetTableVersion データ受信者が共有テーブル バージョンに関する詳細を要求する。 * share: 共有の名前。
* schema: テーブルの親スキーマの名前。
* name: テーブルの名前。
unityCatalog deltaSharingProxyGetTableMetadata データ受信者が共有テーブルのメタデータに関する詳細を要求する。 * share: 共有の名前。
* schema: テーブルの親スキーマの名前。
* name: テーブルの名前。
unityCatalog deltaSharingProxyQueryTable データ受信者が共有テーブルにクエリを実行する。 * share: 共有の名前。
* schema: テーブルの親スキーマの名前。
* name: テーブルの名前。
* limitHints: 返す最大行数。
* predicateHints: クエリに含まれる述語。
* version: 変更データ フィードが有効になっている場合は、テーブルのバージョン。
unityCatalog deltaSharingProxyQueryTableChanges データ受信者がテーブルの変更データについて、テーブルにクエリを実行する。 * share: 共有の名前。
* schema: テーブルの親スキーマの名前。
* name: テーブルの名前。
* cdf_options: データ フィード のオプションの変更。
unityCatalog createProvider データ受信者がプロバイダー オブジェクトを作成する。 * name: プロバイダーの名前。
* comment: プロバイダーのコメント。
unityCatalog updateProvider データ受信者がプロバイダー オブジェクトを更新する。 * name: プロバイダーの名前。
* updates: 共有に対して追加または削除されたプロバイダー属性の JSON 表現。 各項目に action (追加または削除) が含まれ、name (新しいプロバイダー名)、owner (新しい所有者)、および comment を含めることができる。
unityCatalog deleteProvider データ受信者がプロバイダー オブジェクトを削除する。 * name: プロバイダーの名前。
unityCatalog getProvider データ受信者がプロバイダー オブジェクトに関する詳細を要求する。 * name: プロバイダーの名前。
unityCatalog listProviders データ受信者がプロバイダー リストを要求する。 なし
unityCatalog activateProvider データ受信者がプロバイダー オブジェクトをアクティブにする。 * name: プロバイダーの名前。
unityCatalog listProviderShares データ受信者がプロバイダーの共有リストを要求する。 * name: プロバイダーの名前。
unityCatalog generateTemporaryVolumeCredential 受信者が共有ボリュームにアクセスするための一時的な資格情報が生成される。 * share_name: 受信者が要求するときに経由する共有の名前。
* volume_full_name: ボリュームの完全な 3 レベルの名前。
* volume_id: ボリュームの ID。
* operation: READ_VOLUME または WRITE_VOLUME のいずれか。 ボリューム共有の場合は、READ_VOLUME だけがサポートされます。
* workspace_id: ユーザー要求を受け取るワークスペースの ID。
unityCatalog generateTemporaryTableCredential 受信者が共有テーブルにアクセスするための一時的な資格情報が生成される。 * share_name: 受信者が要求するときに経由する共有の名前。
* table_full_name: ボリュームの完全な 3 レベルの名前。
* table_id: テーブルの ID。
* operation: READ または READ_WRITE のいずれか。
* workspace_id: ユーザー要求を受け取るワークスペースの ID。

追加のセキュリティ監視イベント

クラスター用やプロまたはクラシック SQL ウェアハウス用の VM など、クラシック コンピューティング プレーン内の Azure Databricks コンピューティング リソースの場合は、次の機能を使うと追加の監視エージェントが有効になります。

ファイルの整合性の監視イベント

次の capsule8-alerts-dataplane イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
capsule8-alerts-dataplane Heartbeat モニターがオンになっていることを確認するための定期的なイベント。 現在は 10 分ごとに実行されます。 * instanceId
capsule8-alerts-dataplane Memory Marked Executable アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。 * instanceId
capsule8-alerts-dataplane File Integrity Monitor 重要なシステム ファイルの整合性を監視します。 それらのファイルで承認されていない変更が行われたら、アラートを生成します。 Databricks ではイメージに対して特定のシステム パスのセットが定義されており、このパスのセットは時間が経つと変化する可能性があります。 * instanceId
capsule8-alerts-dataplane Systemd Unit File Modified systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctl 以外のプログラムによって systemd ユニット ファイルが変更されたら、常にアラートを生成します。 * instanceId
capsule8-alerts-dataplane Repeated Program Crashes 繰り返し発生するプログラムのクラッシュは、攻撃者がメモリ破損の脆弱性を悪用しようとしていること、または影響を受けるアプリケーションに安定性の問題があることを、示している可能性があります。 セグメント化エラーによってクラッシュした個々のプログラムのインスタンスが 5 個を超えたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Userfaultfd Usage コンテナーは通常静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示す可能性があります。 30 分以内に作成または変更されたファイルがコンテナー内で実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane New File Executed in Container アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。 * instanceId
capsule8-alerts-dataplane Suspicious Interactive Shell 最新の運用インフラストラクチャでは、対話型シェルが発生することはほとんどありません。 リバース シェルでよく使われる引数を使って対話型シェルが開始されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Command Logging Evasion コマンド ログの回避は、攻撃者がよく行うことですが、正当なユーザーが承認されていないアクションを実行していること、またはポリシーを回避しようとしていることを示している可能性もあります。 ユーザー コマンド履歴ログに対する変更が検出されたら、アラートを生成します。これは、ユーザーがコマンド ログを回避しようとしていることを示します。 * instanceId
capsule8-alerts-dataplane BPF Program Executed 一部の種類のカーネル バックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を取得して検出を回避するために BPF ベースのルートキットを読み込んでいることを示す可能性があります。 進行中のインシデントに既に含まれるプロセスの場合、そのプロセスで新しい特権 BPF プログラムが読み込まれたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Kernel Module Loaded 攻撃者は通常、悪意のあるカーネル モジュール (ルートキット) を読み込んで検出を回避し、侵害されたノードでの永続性を維持します。 既にプログラムが進行中のインシデントの一部になっている場合、カーネル モジュールが読み込まれたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Suspicious Program Name Executed-Space After File 攻撃者は、正当なシステム プログラムまたはサービスを偽装するため、悪意のあるバイナリを作成または名前変更して、名前の末尾にスペースを含める可能性があります。 プログラム名の後にスペースが含まれるプログラムが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Illegal Elevation Of Privileges カーネル特権エスカレーションが悪用されると、通常、特権を持たないユーザーが、特権の変更に対する標準ゲートを通過することなく、ルート特権を取得できるようになります。 プログラムが通常とは異なる方法で特権を昇格させようとしたら、アラートを生成します。 これにより、ワークロードが多いノードで擬陽性の警告が発生する可能性があります。 * instanceId
capsule8-alerts-dataplane Kernel Exploit 内部カーネル関数は、通常のプログラムからはアクセスできず、それが呼び出された場合、カーネルの悪用が実行され、攻撃者がノードを完全に制御していることの強力な指標になります。 カーネル関数が予期せずユーザー空間に戻ったら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Processor-Level Protections Disabled SMEP と SMAP はカーネルの悪用を成功しにくくさせるプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル悪用での一般的な初期ステップです。 プログラムによってカーネルの SMEP/SMAP 構成が改ざんされたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Container Escape via Kernel Exploitation コンテナー エスケープの悪用で一般的に使われるカーネル関数をプログラムが使用したら、アラートを生成します。これは、攻撃者がコンテナー アクセスからノード アクセスに特権をエスカレートしていることを示します。 * instanceId
capsule8-alerts-dataplane Privileged Container Launched 特権コンテナーはホスト リソースに直接アクセスでき、侵害された場合の影響が大きくなります。 特権コンテナーが起動されたとき、コンテナーが kube-proxy などの既知の特権イメージでない場合に、アラートを生成します。 これにより、正当な特権コンテナーに対する不要な警告が発生する可能性があります。 * instanceId
capsule8-alerts-dataplane Userland Container Escape 多くのコンテナー エスケープでは、ホストによるコンテナー内のバイナリの実行が強制され、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナーによって作成されたファイルがコンテナーの外部から実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane AppArmor Disabled In Kernel 特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、AppArmor がカーネルの悪用またはルートキットによって無効にされたことを示します。 AppArmor の状態が、センサーの開始時に検出された AppArmor の構成から変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane AppArmor Profile Modified 攻撃者は、検出の回避の一環として、AppArmor プロファイルの適用の無効化を試みることがあります。 AppArmor プロファイルを変更するコマンドが実行され、それが SSH セッションでユーザーによって実行されたものではななかった場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Boot Files Modified ブート ファイルの変更が、信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されたものではない場合、攻撃者がホストへの永続的なアクセスを得るためにカーネルまたはそのオプションを変更していることを示す可能性があります。 新しいカーネルまたはブート構成のインストールを示す、/boot 内のファイルの変更が行われたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Log Files Deleted ログ管理ツールによって実行されたものではないログの削除は、攻撃者が侵害の証拠を削除しようとしていることを示す可能性があります。 システム ログ ファイルが削除されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane New File Executed システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルの悪用、または悪用チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Root Certificate Store Modified ルート証明書ストアの変更は、ネットワーク トラフィックのインターセプトやコード署名検証のバイパスを可能にする、不正な証明機関のインストールを示している可能性があります。 システム CA 証明書ストアが変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Setuid/Setgid Bit Set On File setuid/setgid ビットの設定を使って、ノードでの特権エスカレーションのための永続的な方法を提供できます。 システム呼び出しの chmod ファミリを使ってファイルで setuid または setgid ビットが設定されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Hidden File Created 攻撃者は、侵害されたホスト上のツールやペイロードが見つからないようにする手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられているプロセスによって隠しファイルが作成されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Modification Of Common System Utilities 攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するため、これらのユーティリティを変更する可能性があります。 承認されていないプロセスによって一般的なシステム ユーティリティが変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Network Service Scanner Executed 攻撃者または悪意のあるユーザーは、さらに多くのノードを侵害するため、これらのプログラムを使用またはインストールして、接続されたネットワークを調べる可能性があります。 一般的なネットワーク スキャン プログラム ツールが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Network Service Created 攻撃者は、侵害後に、ホストに簡単にアクセスできるよう、新しいネットワーク サービスを開始する可能性があります。 進行中のインシデントの一部に既になっているプログラムによって新しいネットワーク サービスが開始されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Network Sniffing Program Executed 攻撃者または悪意のあるユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Remote File Copy Detected ファイル転送ツールの使用は、攻撃者がツールセットを別のホストに移動したり、リモート システムにデータを流出させたりしようとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Unusual Outbound Connection Detected コマンド アンド コントロール チャネルや暗号通貨マイナーは、通常とは異なるポートに新しいアウトバウンド ネットワーク接続を作成することがよくあります。 進行中のインシデントの一部に既になっているプログラムが、一般的でないポートで新しい接続を開始したら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Data Archived Via Program 攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出のためにデータのサイズを小さくする可能性があります。 既に進行中のインシデントの一部であるデータ圧縮プログラムが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Process Injection プロセス インジェクション手法の使用は、一般にはユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示す可能性もあります。 プログラムが ptrace (デバッグ) メカニズムを使って別のプロセスと対話したら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Account Enumeration Via Program 攻撃者は、多くの場合、アカウント列挙プログラムを使ってアクセス レベルを判断し、他のユーザーがノードに現在ログインしているかどうかを確認します。 アカウントの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane File and Directory Discovery Via Program ファイル システムの探索は、攻撃者が関心のある資格情報とデータを探すために悪用後に行う、一般的な動作です。 ファイルとディレクトリの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Network Configuration Enumeration Via Program 攻撃者は、横断移動の前に、ローカル ネットワークとルートの情報を問い合わせて、隣接するホストとネットワークを識別する可能性があります。 ネットワーク構成の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Process Enumeration Via Program 多くの場合、攻撃者は、ノードの目的と、セキュリティまたは監視ツールが設けられているかどうかを確認するため、実行中のプログラムの一覧を取得します。 プロセスの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane System Information Enumeration Via Program 通常、攻撃者は、多くの場合はノードが特定の脆弱性の影響を受けるかどうかを確認するために、システム列挙コマンドを実行して、Linux カーネルとディストリビューションのバージョンと機能を特定します。 システム情報の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Scheduled Tasks Modified Via Program スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 crontabat、または batch コマンドを使って、スケジュールされたタスクの構成が変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Systemctl Usage Detected systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctl コマンドを使って systemd ユニットが変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Execution Of su Command ルート ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける機能が低下します。 su コマンドが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Execution Of sudo Command sudo コマンドが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Command History Cleared 履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane New System User Added 攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加することがあります。 新しいユーザー エンティティがローカル アカウント管理ファイル /etc/passwd に追加され、そのエンティティがシステム更新プログラムによって追加されていない場合、アラートを生成します。 * instanceId
capsule8-alerts-dataplane Password Database Modification 攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新と関係のないプログラムによって変更されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane SSH Authorized Keys Modification 新しい SSH 公開キーの追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 既にプログラムが進行中のインシデントの一部になっている場合、ユーザーの SSH authorized_keys ファイルへの書き込みの試みが観察されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Account Created Via CLI 新しいユーザーの追加は、攻撃者が侵害されたノードで永続性を確立するときの、一般的なステップです。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane User Configuration Changes 履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。 * instanceId
capsule8-alerts-dataplane New System User Added ユーザー プロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として、変更されることがよくあります。 .bash_profilebashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更されたら、アラートを生成します。 * instanceId

ウイルス対策監視イベント

Note

これらの監査ログの response JSON オブジェクトには必ず result フィールドがあり、元のスキャン結果の 1 行が含まれます。 各スキャン結果は、通常、元のスキャン出力の行ごとに 1 つずつある、複数の監査ログ レコードによって表されます。 このファイルに記録される内容について詳しくは、こちらのサードパーティのドキュメントをご覧ください。

次の clamAVScanService-dataplane イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
clamAVScanService-dataplane clamAVScanAction ウイルス対策監視によってスキャンが実行されます。 元のスキャン出力の各行に対してログが生成されます。 * instanceId

システム ログ イベント

Note

監査ログの response JSON オブジェクトには必ず result フィールドがあり、元のシステム ログのコンテンツが含まれます。

次の syslog イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
syslog processEvent システム ログがイベントを処理します。 * instanceId
* processName

プロセス モニター ログ イベント

次の monit イベントがワークスペース レベルでログされます。

サービス Action 説明 要求パラメーター
monit processNotRunning モニターが実行されていません。 * instanceId
* processName
monit processRestarting モニターが再起動しています。 * instanceId
* processName
monit processStarted モニターが開始されました。 * instanceId
* processName
monit processRunning モニターが実行中です。 * instanceId
* processName

非推奨のログ イベント

Databricks では、次の診断イベントが非推奨になりました。

  • createAlertDestination (現在は createNotificationDestination)
  • deleteAlertDestination (現在は deleteNotificationDestination)
  • updateAlertDestination (現在は updateNotificationDestination)

SQL エンドポイント ログ

非推奨の SQL エンドポイント API (SQL ウェアハウスの以前の名前) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名に、Warehouse の代わりに Endpoint という単語が含まれます。 名前以外は、これらのイベントは SQL ウェアハウスのイベントと同一です。 これらのイベントの説明と要求パラメーターを表示するには、「Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。

SQL エンドポイント イベントは次のとおりです。

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig