診断ログ リファレンス
注意
この機能を使用するには、Premium プランが必要です。
この記事は、監査ログ サービスとイベントの包括的なリファレンスを提供します。 これらのサービスの可用性は、ログへのアクセス方法によって異なります。
- 監査ログ システム テーブルは、この記事に記載されているすべてのイベントとサービスを記録します。
- Azure Monitor の診断設定サービスでは、これらのすべてのサービスがログに記録されるわけではありません。 Azure の診断設定で使用できないサービスには、それに応じてラベルが付けられます。
Note
Azure Databricks では、セキュリティおよび不正行為分析のために、監査ログのコピーが最大 1 年間保持されます。
診断ログ サービス
次のサービスとそのイベントは、既定で診断ログに記録されます。
Note
ワークスペースレベルとアカウントレベルの指定は、監査ログ システム テーブルにのみ適用されます。 Azure 診断ログには、アカウントレベルのイベントは含まれません。
ワークスペースレベルのサービス
| サービス名 | 説明 |
|---|---|
| accounts | アカウント、ユーザー、グループ、および IP アクセス リストに関連するイベント。 |
| clusters | クラスターに関連するイベント。 |
| clusterPolicies | クラスター ポリシーに関連するイベント。 |
| dashboards | AI/BI ダッシュボードの使用に関連するイベント。 |
| databrickssql | Databricks SQL の使用に関連するイベント。 |
| dataMonitoring | レイクハウス監視に関連するイベント。 |
| dbfs | DBFS に関連するイベント。 |
| deltaPipelines | Delta Live Table パイプラインに関連するイベント。 |
| featureStore | Databricks Feature Store に関連するイベント。 |
| filesystem | Files API に関連するイベント。 |
| genie | サポート担当者によるワークスペース アクセスに関連するイベント。 関連性のない AI/BI Genie スペース。 |
| gitCredentials | Databricks Git フォルダーの Git 資格情報に関連するイベント。 repos も参照してください。 |
| globalInitScripts | グローバル init スクリプトに関連するイベント。 |
| groups | アカウントとワークスペース グループに関連するイベント。 |
| iamRole | IAM ロールのアクセス許可に関連するイベント。 |
| ingestion | ファイルのアップロードに関連するイベント。 |
| instancePools | pools に関連するイベント。 |
| jobs | ジョブに関連するイベント。 |
| marketplaceConsumer | Databricks Marketplace のコンシューマー アクションに関連するイベント。 |
| marketplaceProvider | Databricks Marketplace のプロバイダー アクションに関連するイベント。 |
| mlflowAcledArtifact | ACL を使用したML Flow 成果物に関連するイベント。 |
| mlflowExperiment | ML Flow 実験に関連するイベント。 |
| modelRegistry | モデル レジストリに関連するイベント。 |
| ノートブック | ノートブックに関連するイベント。 |
| partnerConnect | Partner Connect に関連するイベント。 |
| predictiveOptimization | 予測最適化に関連するイベント。 |
| remoteHistoryService | GitHub 資格情報の追加と削除に関連するイベント。 |
| repos | Databricks Git フォルダーに関連するイベント。 gitCredentials も参照してください。 |
| secrets | シークレットに関連するイベント。 |
| serverlessRealTimeInference | モデル サービングに関連するイベント。 |
| sqlPermissions | レガシの Hive メタストア テーブル アクセス制御に関連するイベント。 |
| ssh | SSH アクセスに関連するイベント。 |
| vectorSearch | ベクトル検索に関連するイベント。 |
| webTerminal | Web ターミナル機能に関連するイベント。 |
| ワークスペース | ワークスペースに関連するイベント。 |
アカウントレベルのサービス
アカウントレベルの監査ログは、次のサービスで利用可能です。
| サービス名 | 説明 |
|---|---|
| accountBillableUsage | アカウント コンソールでの課金対象の使用状況アクセスに関連するアクション。 |
| accountsAccessControl | アカウントレベルのアクセス制御規則に関連するアクション。 |
| accountsManager | ネットワーク接続構成に関連するアクション。 |
| budgetPolicyCentral | budget ポリシーの管理に関連するアクション。 |
| unityCatalog | Unity Catalog で実行されるアクション。 これには Delta Sharing イベントも含まれます。「Delta Sharing イベント」参照してください。 |
追加のセキュリティ監視サービス
コンプライアンス セキュリティ プロファイル (FedRAMP、PCI、HIPAA などの一部のコンプライアンス標準に必要) またはセキュリティ強化監視を使用するワークスペースには、追加のサービスと関連するアクションがあります。
これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ監視を使用している場合にのみログに生成される、ワークスペースレベルのサービスです。
| サービス名 | 説明 |
|---|---|
| capsule8-alerts-dataplane | ファイルの整合性の監視に関連するアクション。 |
| clamAVScanService-dataplane | ウイルス対策監視に関連するアクション。 |
診断ログのスキーマの例
Azure Databricks では、診断ログは JSON 形式でイベントを出力します。 Azure Databricks では、監査ログは JSON 形式でイベントを出力します。 serviceName および actionName プロパティは、バインドを識別します。 名前付け規則は、Databricks REST API に従います。
次の JSON サンプルは、ユーザーがジョブを作成したときにログに記録されるイベントの例です。
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
診断ログのスキーマに関する考慮事項
- アクションに時間がかかる場合、要求と応答は別々にログに記録されますが、要求と応答のペアは同じ
requestIdを持ちます。 - 自動スケーリングによるクラスターのサイズ変更や、スケジューリングによるジョブの起動などの自動化アクションは、ユーザー
System-Userによって実行されます。 requestParamsフィールドは切り捨てられる可能性があります。 JSON 表現のサイズが 100 KB を超える場合、値は切り捨てられ、切り捨てられたエントリに文字列... truncatedが追加されます。 切り捨てられたマップがまだ 100 KB を超えているまれなケースでは、空の値を持つ 1 つのTRUNCATEDキーが代わりに配置されます。
アカウントのイベント
ワークスペース レベルでログされる accounts イベントを次に示します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
accounts |
activateUser |
ユーザーが、非アクティブ化された後に再アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。 | - targetUserName- endpoint- targetUserId |
accounts |
aadBrowserLogin |
ユーザーが Microsoft Entra ID ブラウザー ワークフローを使用して Databricks にログインします。 | - user |
accounts |
aadTokenLogin |
ユーザーは、Microsoft Entra ID トークンを使用して Databricks にログインします。 | - user |
accounts |
accountInHouseOAuthClientAuthentication |
OAuth クライアントが認証される。 | - endpoint |
accounts |
activateUser |
管理者が Azure portal から Databricks アカウントにユーザーを追加する。 | - warehouse- targetUserName- targetUserId |
accounts |
add |
ユーザーが Azure Databricks ワークスペースに追加される。 | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
ユーザーがワークスペース レベルのグループに追加される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
changeDatabricksSqlAcl |
ユーザーの Databricks SQL アクセス許可が変更される。 | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
ワークスペースへのアクセス許可が変更される。 | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDbTokenAcl |
トークンに対するアクセス許可が変更されるとき。 | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeServicePrincipalAcls |
サービス プリンシパルのアクセス許可が変更されるとき。 | - shardName- targetServicePrincipal- resourceId- aclPermissionSet |
accounts |
createGroup |
ワークスペースレベルのグループが作成される。 | - endpoint- targetGroupId- targetGroupName |
accounts |
createIpAccessList |
IP アクセス リストがワークスペースに追加される。 | - ipAccessListId- userId |
accounts |
deactivateUser |
ユーザーがワークスペースで非アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。 | - targetUserName- endpoint- targetUserId |
accounts |
delete |
ユーザーが Azure Databricks ワークスペースから削除される。 | - targetUserId- targetUserName- endpoint |
accounts |
deleteIpAccessList |
IP アクセス リストがワークスペースから削除される。 | - ipAccessListId- userId |
accounts |
garbageCollectDbToken |
ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。 | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
[ユーザー設定] からトークンを生成するとき、またはサービスがトークンを生成するとき。 | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
IpAccessDenied |
ユーザーが拒否された IP 経由でサービスへの接続を試みる。 | - path- userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
ユーザーが JWT を使用して Databricks にログインする。 | - user |
accounts |
login |
ユーザーがワークスペースにログインする。 | - user |
accounts |
logout |
ユーザーがワークスペースからログアウトする。 | - user |
accounts |
oidcTokenAuthorization |
汎用 OIDC/OAuth トークン経由で API 呼び出しが承認されるとき。 | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
期限切れでないトークンの現在の数がトークン クォータを超えるとき | |
accounts |
removeAdmin |
ユーザーがワークスペース管理者のアクセス許可を取り消される。 | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
グループがワークスペースから削除される。 | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
ユーザーがグループから削除される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
revokeDbToken |
ユーザーのトークンがワークスペースからドロップされます。 ユーザーが Databricks アカウントから削除されるとトリガーできます。 | - userId |
accounts |
setAdmin |
ユーザーにアカウント管理者のアクセス許可が付与される。 | - endpoint- targetUserName- targetUserId |
accounts |
tokenLogin |
ユーザーがトークンを使用して Databricks にログインする。 | - tokenId- user |
accounts |
updateIpAccessList |
IP アクセス リストが変更される。 | - ipAccessListId- userId |
accounts |
updateUser |
ユーザーのアカウントに変更が加えられる。 | - warehouse- targetUserName- targetUserId |
accounts |
validateEmail |
ユーザーがアカウントの作成後にメールを検証するとき。 | - endpoint- targetUserName- targetUserId |
クラスターのイベント
ワークスペース レベルでログされる cluster イベントを次に示します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
clusters |
changeClusterAcl |
ユーザーがクラスター ACL を変更する。 | - shardName- aclPermissionSet- targetUserId- resourceId |
clusters |
create |
ユーザーがクラスターを作成する。 | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
createResult |
クラスターの作成の結果。 create と連動。 |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
delete |
クラスターが終了される。 | - cluster_id |
clusters |
deleteResult |
クラスターの終了の結果。 delete と連動。 |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
edit |
ユーザーがクラスター設定を変更する。 これにより、クラスター サイズや自動スケーリング動作の変更を除くすべての変更がログされます。 | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
permanentDelete |
UI からクラスターが削除される。 | - cluster_id |
clusters |
resize |
クラスターがサイズ変更される。 これは、変化する唯一のプロパティがクラスター のサイズまたは自動スケーリングの動作である実行中のクラスターに記録されます。 | - cluster_id- num_workers- autoscale |
clusters |
resizeResult |
クラスターのサイズ変更の結果。 resize と連動。 |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
restart |
ユーザーが実行中のクラスターを再起動する。 | - cluster_id |
clusters |
restartResult |
クラスターの再起動の結果。 restart と連動。 |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
start |
ユーザーがクラスターを起動する。 | - init_scripts_safe_mode- cluster_id |
clusters |
startResult |
クラスターの起動の結果。 start と連動。 |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
クラスター ライブラリのイベント
ワークスペース レベルでログされる clusterLibraries イベントを次に示します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
clusterLibraries |
installLibraries |
ユーザーがクラスターにライブラリをインストールする。 | - cluster_id- libraries |
clusterLibraries |
uninstallLibraries |
ユーザーがクラスター上のライブラリをアンインストールする。 | - cluster_id- libraries |
clusterLibraries |
installLibraryOnAllClusters |
ワークスペース管理者が、すべてのクラスターにライブラリをインストールするようにスケジュールする。 | - user- library |
clusterLibraries |
uninstallLibraryOnAllClusters |
ワークスペース管理者が、すべてのクラスターにインストールする一覧からライブラリを削除する。 | - user- library |
クラスター ポリシー イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
ワークスペース レベルでログされる clusterPolicies イベントを次に示します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
clusterPolicies |
create |
ユーザーがクラスター ポリシーを作成した。 | - name |
clusterPolicies |
edit |
ユーザーがクラスター ポリシーを編集した。 | - policy_id- name |
clusterPolicies |
delete |
ユーザーがクラスター ポリシーを削除した。 | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
ワークスペース管理者がクラスター ポリシーのアクセス許可を変更する。 | - shardName- targetUserId- resourceId- aclPermissionSet |
ダッシュボード イベント
ワークスペース レベルでログされる dashboards イベントを次に示します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
dashboards |
getDashboard |
ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードの下書きバージョンにアクセスできるのは、ワークスペース ユーザーだけです。 | - dashboard_id |
dashboards |
getPublishedDashboard |
ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、公開されたバージョンのダッシュボードにアクセスします。 ワークスペース ユーザーとアカウント ユーザーの両方からのアクティビティが含まれます。 スケジュール済みメールを使用したダッシュボードの PDF スナップショットの受信は含まれません。 | - dashboard_id- credentials_embedded |
dashboards |
executeQuery |
ユーザーはダッシュボードからクエリを実行します。 | - dashboard_id- statement_id |
dashboards |
cancelQuery |
ユーザーはダッシュボードからクエリを取り消します。 | - dashboard_id- statement_id |
dashboards |
getQueryResult |
ユーザーが、ダッシュボードからクエリの結果を受け取ります。 | - dashboard_id- statement_id |
dashboards |
sendDashboardSnapshot |
ダッシュボードの PDF スナップショットを、スケジュールされた電子メールを介して送信します。 要求パラメーターの値は、受信者の種類で異なります。 Databricks 通知先の場合、 destination_id のみの表示です。 Databricks ユーザーの場合、サブスクライバーのユーザー ID と電子メール アドレスを表示します。 受信者がメール アドレスの場合、メール アドレスのみが表示されます。 |
- dashboard_id- subscriber_destination_id- subscriber_user_details: {user_id,email_address } |
dashboards |
getDashboardDetails |
ユーザーは、データセットやウィジェットなどの下書きダッシュボードの詳細にアクセスします。 getDashboardDetails は、ユーザーが UI を使用して下書きダッシュボードを表示し、API を使用してダッシュボード定義を要求したときに常に生成されます。 |
- dashboard_id |
dashboards |
createDashboard |
ユーザーは、UI または API を使用して新しい AI/BI ダッシュボードを作成します。 | - dashboard_id |
dashboards |
updateDashboard |
ユーザーは、UI または API を使用して AI/BI ダッシュボードを更新します。 | - dashboard_id |
dashboards |
cloneDashboard |
ユーザーは AI/BI ダッシュボードをクローンします。 | - source_dashboard_id- new_dashboard_id |
dashboards |
publishDashboard |
ユーザーは、UI または API を使用して AI/BI ダッシュボード (資格情報の埋め込みあり、または埋め込みなし) を公開します。 | - dashboard_id- credentials_embedded- warehouse_id |
dashboards |
unpublishDashboard |
ユーザーは UI または API を使用して、公開済み AI/BI ダッシュボードを非公開にします。 | - dashboard_id |
dashboards |
trashDashboard |
ユーザーは、UI または API を使用して AI/BI ダッシュボードをごみ箱に移動します。 | - dashboard_id |
dashboards |
restoreDashboard |
ユーザーはごみ箱から AI/BI ダッシュボードを復元します。 | - dashboard_id |
dashboards |
migrateDashboard |
ユーザーは、DBSQL ダッシュボードを AI/BI ダッシュボードに移行します。 | - source_dashboard_id- new_dashboard_id |
dashboards |
createSchedule |
ユーザーがメール サブスクリプションのスケジュールを作成します。 | - dashboard_id- schedule_id |
dashboards |
updateSchedule |
ユーザーは AI/BI ダッシュボードのスケジュールを更新します。 | - dashboard_id- schedule_id |
dashboards |
deleteSchedule |
ユーザーは AI/BI ダッシュボードのスケジュールを削除します。 | - dashboard_id- schedule_id |
dashboards |
createSubscription |
ユーザーは、メールの宛先を AI/BI ダッシュボードのスケジュールにサブスクライブします。 | - dashboard_id- schedule_id- schedule |
dashboards |
deleteSubscription |
ユーザーは、AI/BI ダッシュボードのスケジュールからメールの宛先を削除します。 | - dashboard_id- schedule_id |
Databricks SQL イベント
ワークスペース レベルでログされる databrickssql イベントを次に示します。
Note
レガシ SQL エンドポイント API を使用して SQL ウェアハウスを管理する場合、SQL ウェアハウスの監査イベントのアクション名は異なります。 SQL エンドポイント ログに関するページを参照してください。
| Service | Action | 説明 | 要求パラメーター |
|---|---|---|---|
databrickssql |
addDashboardWidget |
ウィジェットがダッシュボードに追加されます。 | - dashboardId- widgetId |
databrickssql |
cancelQueryExecution |
SQL エディター UI からクエリの実行が取り消されます。 これには、Query History UI または Databricks SQL 実行 API からの取り消しは含まれません。 | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
ウェアハウス マネージャーが SQL ウェアハウスのアクセス許可を更新します。 | - aclPermissionSet- resourceId- shardName- targetUserId |
databrickssql |
changePermissions |
ユーザーがオブジェクトのアクセス許可を更新する。 | - granteeAndPermission- objectId- objectType |
databrickssql |
cloneDashboard |
ユーザーがダッシュボードを複製する。 | - dashboardId |
databrickssql |
commandSubmit |
詳細監査ログでのみ。 要求の発生元に関係なく、コマンドが SQL ウェアハウスに送信されるときに生成されます。 | - warehouseId- commandId- validation- commandText |
databrickssql |
commandFinish |
詳細監査ログでのみ。 取り消し要求の発生元に関係なく、SQL ウェアハウス上でコマンドが完了するか、取り消されたときに生成されます。 | - warehouseId- commandId |
databrickssql |
createAlert |
ユーザーがアラートを作成する。 | - alertId |
databrickssql |
createNotificationDestination |
ワークスペース管理者が通知先を作成する。 | - notificationDestinationId- notificationDestinationType |
databrickssql |
createDashboard |
ユーザーがダッシュボードを作成する。 | - dashboardId |
databrickssql |
createDataPreviewDashboard |
ユーザーがデータ プレビュー ダッシュボードを作成する。 | - dashboardId |
databrickssql |
createWarehouse |
クラスターの作成エンタイトルメントを持つユーザーが SQL ウェアハウスを作成します。 | - auto_resume- auto_stop_mins- channel- cluster_size- conf_pairs- custom_cluster_confs- enable_databricks_compute- enable_photon- enable_serverless_compute- instance_profile_arn- max_num_clusters- min_num_clusters- name- size- spot_instance_policy- tags- test_overrides |
databrickssql |
createQuery |
ユーザーが新しいクエリを作成します。 | - queryId |
databrickssql |
createQueryDraft |
ユーザーがクエリの下書きを作成する。 | - queryId |
databrickssql |
createQuerySnippet |
ユーザーがクエリ スニペットを作成する。 | - querySnippetId |
databrickssql |
createSampleDashboard |
ユーザーがサンプル ダッシュボードを作成する。 | - sampleDashboardId |
databrickssql |
createVisualization |
ユーザーが SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用するノートブックの既定の結果テーブルと視覚化を除外します。 | - queryId- visualizationId |
databrickssql |
deleteAlert |
ユーザーがアラート インターフェイスから、または API 経由でアラートを削除します。 ファイル ブラウザー UI からの削除を除外します。 | - alertId |
databrickssql |
deleteNotificationDestination |
ワークスペース管理者が通知先を削除する。 | - notificationDestinationId |
databrickssql |
deleteDashboard |
ユーザーがダッシュボード インターフェイスから、または API 経由でダッシュボードを削除します。 ファイル ブラウザー UI 経由の削除を除外します。 | - dashboardId |
databrickssql |
deleteDashboardWidget |
ユーザーがダッシュボード ウィジェットを削除する。 | - widgetId |
databrickssql |
deleteWarehouse |
ウェアハウス マネージャーが SQL ウェアハウスを削除します。 | - id |
databrickssql |
deleteQuery |
ユーザーがクエリ インターフェイスから、または API 経由でクエリを削除します。 ファイル ブラウザー UI 経由の削除を除外します。 | - queryId |
databrickssql |
deleteQueryDraft |
ユーザーがクエリの下書きを削除する。 | - queryId |
databrickssql |
deleteQuerySnippet |
ユーザーがクエリ スニペットを削除する。 | - querySnippetId |
databrickssql |
deleteVisualization |
ユーザーが SQL エディターのクエリから視覚化を削除します。 | - visualizationId |
databrickssql |
downloadQueryResult |
ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。 | - fileType- queryId- queryResultId- credentialsEmbedded- credentialsEmbeddedId |
databrickssql |
editWarehouse |
ウェアハウス マネージャーが SQL ウェアハウスに対して編集を行います。 | - auto_stop_mins- channel- cluster_size- confs- enable_photon- enable_serverless_compute- id- instance_profile_arn- max_num_clusters- min_num_clusters- name- spot_instance_policy- tags |
databrickssql |
executeAdhocQuery |
次のいずれかによって生成されます。 - ユーザーが SQL エディターでクエリのドラフトを実行する - 視覚化集計からクエリが実行される - ユーザーがダッシュボードを読み込み、基になるクエリを実行する |
- dataSourceId |
databrickssql |
executeSavedQuery |
ユーザーが保存されたクエリを実行する。 | - queryId |
databrickssql |
executeWidgetQuery |
ダッシュボード パネルが更新されるクエリを実行するイベントによって生成されます。 該当するイベントの例をいくつか次に示します。 - 単一パネルの更新 - ダッシュボード全体の更新 - スケジューリングされたダッシュボードの実行 - 64,000 を超える行に対して操作されるパラメーターまたはフィルターの変更 |
- widgetId |
databrickssql |
favoriteDashboard |
ユーザーがダッシュボードをお気に入りに追加する。 | - dashboardId |
databrickssql |
favoriteQuery |
ユーザーがクエリをお気に入りに追加する。 | - queryId |
databrickssql |
forkQuery |
ユーザーがクエリを複製します。 | - originalQueryId- queryId |
databrickssql |
listQueries |
ユーザーがクエリ リスト ページを開くか、リスト クエリ API を呼び出します。 | - filter_by- include_metrics- max_results- page_token |
databrickssql |
moveAlertToTrash |
ユーザーがアラートをごみ箱に移動する。 | - alertId |
databrickssql |
moveDashboardToTrash |
ユーザーがダッシュボードをごみ箱に移動する。 | - dashboardId |
databrickssql |
moveQueryToTrash |
ユーザーがクエリをごみ箱に移動する。 | - queryId |
databrickssql |
restoreAlert |
ユーザーがごみ箱からアラートを復元する。 | - alertId |
databrickssql |
restoreDashboard |
ユーザーがごみ箱からダッシュボードを復元する。 | - dashboardId |
databrickssql |
restoreQuery |
ユーザーがごみ箱からクエリを復元する。 | - queryId |
databrickssql |
setWarehouseConfig |
ウェアハウス・マネージャーが SQL ウェアハウスの構成を設定します。 | - data_access_config- enable_serverless_compute- instance_profile_arn- security_policy- serverless_agreement- sql_configuration_parameters- try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボード スナップショットが含まれます。 | - dashboardId |
databrickssql |
startWarehouse |
SQL ウェアハウスが開始される。 | - id |
databrickssql |
stopWarehouse |
ウェアハウス マネージャーが SQL ウェアハウスを停止します。 自動停止されたウェアハウスを除外します。 | - id |
databrickssql |
transferObjectOwnership |
ワークスペース管理者が、ダッシュボード、クエリ、またはアラートの所有権を、Transfer Object Ownership API を介してアクティブ ユーザーに転送する。 UI または更新 API を介して行われる所有権の転送は、この監査ログ イベントによってキャプチャされません。 | - newOwner- objectId- objectType |
databrickssql |
unfavoriteDashboard |
ユーザーが自分のお気に入りからダッシュボードを削除する。 | - dashboardId |
databrickssql |
unfavoriteQuery |
ユーザーが自分のお気に入りからクエリを削除する。 | - queryId |
databrickssql |
updateAlert |
ユーザーがアラートを更新する。 ownerUserName は、アラートの所有権が API を使用して転送された場合に設定されます。 |
- alertId- queryId- ownerUserName |
databrickssql |
updateNotificationDestination |
ワークスペース管理者が通知先を更新する。 | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
ユーザーがダッシュボード ウィジェットを更新する。 軸スケールの変更を除外します。 該当する更新の例を次に示します。 - ウィジェットのサイズや配置の変更 - ウィジェット パラメーターの追加または削除 |
- widgetId |
databrickssql |
updateDashboard |
ユーザーがダッシュボード プロパティを更新します。 スケジュールとサブスクリプションの変更を除外します。 該当する更新の例を次に示します。 - ダッシュボード名の変更 - SQL ウェアハウスの変更 - [実行するアカウント名] 設定の変更 |
- dashboardId |
databrickssql |
updateOrganizationSetting |
ワークスペース管理者がワークスペースの SQL 設定を更新する。 | - has_configured_data_access- has_explored_sql_warehouses- has_granted_permissions |
databrickssql |
updateQuery |
ユーザーがクエリを更新する。 ownerUserName は、クエリの所有権が API を使用して転送される場合に設定されます。 |
- queryId- ownerUserName |
databrickssql |
updateQueryDraft |
ユーザーがクエリの下書きを更新する。 | - queryId |
databrickssql |
updateQuerySnippet |
ユーザーがクエリ スニペットを更新する。 | - querySnippetId |
databrickssql |
updateVisualization |
ユーザーが SQL エディターまたはダッシュボードから視覚化を更新します。 | - visualizationId |
データ監視イベント
次の dataMonitoring イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
dataMonitoring |
CreateMonitor |
ユーザーがモニターを作成する。 | - data_classification_config- full_table_name_arg- assets_dir- schedule- output_schema_name- notifications- inference_log |
dataMonitoring |
UpdateMonitor |
ユーザーがモニターを更新する。 | - data_classification_config- table_name- full_table_name_arg- drift_metrics_table_name- dashboard_id- custom_metrics- assets_dir- monitor_version- profile_metrics_table_name- baseline_table_name- status- output_schema_name- inference_log- slicing_exprs |
dataMonitoring |
DeleteMonitor |
ユーザーがモニターを削除する。 | - full_table_name_arg |
dataMonitoring |
RunRefresh |
モニターは、スケジュールによるか、手動で更新される。 | - full_table_name_arg |
DBFS イベント
次の表に、ワークスペース レベルでログされる dbfs イベントを示します。
DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。
DBFS API イベント
次の DBFS 監査イベントは、DBFS REST API 経由で書き込まれたときにのみログに記録されます。
| Service | Action | 説明 | 要求パラメーター |
|---|---|---|---|
dbfs |
addBlock |
ユーザーがデータ ブロックをストリームに追加する。 これは dbfs/create と組み合わせて使用され、DBFS にデータをストリーミングします。 | - handle- data_length |
dbfs |
create |
ユーザーがストリームを開いて、DBFS にファイルを書き込む。 | - path- bufferSize- overwrite |
dbfs |
delete |
ユーザーが DBFS からファイルまたはディレクトリを削除する。 | - recursive- path |
dbfs |
mkdirs |
ユーザーが新しい DBFS ディレクトリを作成する。 | - path |
dbfs |
move |
ユーザーが DBFS 内のある場所から別の場所にファイルを移動する。 | - dst- source_path- src- destination_path |
dbfs |
put |
ユーザーがマルチパート フォーム ポストを使用して DBFS にファイルをアップロードする。 | - path- overwrite |
DBFS 操作イベント
次の DBFS 監査イベントは、コンピューティング プレーンで発生します。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
dbfs |
mount |
ユーザーが特定の DBFS の場所にマウント ポイントを作成する。 | - mountPoint- owner |
dbfs |
unmount |
ユーザーが特定の DBFS の場所にあるマウント ポイントを削除する。 | - mountPoint |
Delta パイプライン イベント
| Service | Action | 説明 | 要求パラメーター |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
ユーザーがパイプラインのアクセス許可を変更する。 | - shardId- targetUserId- resourceId- aclPermissionSet |
deltaPipelines |
create |
ユーザーが Delta Live Tables パイプラインを作成する。 | - allow_duplicate_names- clusters- configuration- continuous- development- dry_run- id- libraries- name- storage- target- channel- edition- photon |
deltaPipelines |
delete |
ユーザーが Delta Live Tables パイプラインを削除する。 | - pipeline_id |
deltaPipelines |
edit |
ユーザーが Delta Live Tables パイプラインを編集する。 | - allow_duplicate_names- clusters- configuration- continuous- development- expected_last_modified- id- libraries- name- pipeline_id- storage- target- channel- edition- photon |
deltaPipelines |
startUpdate |
ユーザーが Delta Live Tables パイプラインを再起動する。 | - cause- full_refresh- job_task- pipeline_id |
deltaPipelines |
stop |
ユーザーが Delta Live Tables パイプラインを停止する。 | - pipeline_id |
Feature Store イベント
次の featureStore イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
featureStore |
addConsumer |
コンシューマーが特徴ストアに追加される。 | - features- job_run- notebook |
featureStore |
addDataSources |
データ ソースが特徴テーブルに追加される。 | - feature_table- paths, tables |
featureStore |
addProducer |
プロデューサーが特徴テーブルに追加される。 | - feature_table- job_run- notebook |
featureStore |
changeFeatureTableAcl |
特徴テーブルでアクセス許可が変更される。 | - aclPermissionSet- resourceId- shardName- targetUserId |
featureStore |
createFeatureTable |
特徴テーブルが作成される。 | - description- name- partition_keys- primary_keys- timestamp_keys |
featureStore |
createFeatures |
特徴テーブルに特徴が作成される。 | - feature_table- features |
featureStore |
deleteFeatureTable |
特徴テーブルが削除される。 | - name |
featureStore |
deleteTags |
特徴テーブルからタグが削除される。 | - feature_table_id- keys |
featureStore |
getConsumers |
ユーザーが特徴テーブル内のコンシューマーを取得する呼び出しを行う。 | - feature_table |
featureStore |
getFeatureTable |
ユーザーが特徴テーブルを取得する呼び出しを行う。 | - name |
featureStore |
getFeatureTablesById |
ユーザーが特徴テーブル ID を取得する呼び出しを行う。 | - ids |
featureStore |
getFeatures |
ユーザーが特徴を取得する呼び出しを行う。 | - feature_table- max_results |
featureStore |
getModelServingMetadata |
ユーザーが Model Serving メタデータを取得する呼び出しを行う。 | - feature_table_features |
featureStore |
getOnlineStore |
ユーザーがオンライン ストアの詳細を取得する呼び出しを行う。 | - cloud- feature_table- online_table- store_type |
featureStore |
getTags |
ユーザーが特徴テーブルのタグを取得する呼び出しを行う。 | - feature_table_id |
featureStore |
publishFeatureTable |
特徴テーブルが公開される。 | - cloud- feature_table- host- online_table- port- read_secret_prefix- store_type- write_secret_prefix |
featureStore |
searchFeatureTables |
ユーザーが特徴テーブルを検索する。 | - max_results- page_token- text |
featureStore |
setTags |
特徴テーブルにタグが追加される。 | - feature_table_id- tags |
featureStore |
updateFeatureTable |
特徴テーブルが更新される。 | - description- name |
Files API イベント
次の filesystem イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
filesystem |
filesGet |
ユーザーがファイルをダウンロードする。 | - path- transferredSize |
filesystem |
filesPut |
ユーザーがファイルをアップロードする。 | - path- receivedSize |
filesystem |
filesDelete |
ユーザーがファイルを削除する。 | - path |
filesystem |
filesHead |
ユーザーがファイルに関する情報を取得する。 | - path |
Genie イベント
次の genie イベントがワークスペース レベルでログされます。
Note
このサービスは、AI/BI Genie スペースとは関係ありません。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
genie |
databricksAccess |
Databricks の担当者が顧客環境へのアクセスを承認される。 | - duration- approver- reason- authType- user |
Git 資格情報イベント
次の gitCredentials イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
gitCredentials |
getGitCredential |
ユーザーが Git 資格情報を取得する。 | - id |
gitCredentials |
listGitCredentials |
ユーザーがすべての Git 資格情報を一覧表示する | なし |
gitCredentials |
deleteGitCredential |
ユーザーが Git 資格情報を削除する。 | - id |
gitCredentials |
updateGitCredential |
ユーザーが Git 資格情報を更新する。 | - id- git_provider- git_username |
gitCredentials |
createGitCredential |
ユーザーが Git 資格情報を作成する。 | - git_provider- git_username |
グローバル init スクリプト イベント
次の globalInitScripts イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
globalInitScripts |
create |
ワークスペース管理者がグローバル初期化スクリプトを作成する。 | - name- position- script-SHA256- enabled |
globalInitScripts |
update |
ワークスペース管理者がグローバル初期化スクリプトを更新する。 | - script_id- name- position- script-SHA256- enabled |
globalInitScripts |
delete |
ワークスペース管理者がグローバル初期化スクリプトを削除する。 | - script_id |
グループ イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の groups イベントがワークスペース レベルでログされます。 これらのアクションは、レガシ ACL グループに関連しています。 アカウントとワークスペースの各レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
groups |
addPrincipalToGroup |
管理者がユーザーをグループに追加する。 | - user_name- parent_name |
groups |
createGroup |
管理者がグループを作成する。 | - group_name |
groups |
getGroupMembers |
管理者がグループ メンバーを表示する。 | - group_name |
groups |
getGroups |
管理者がグループの一覧を表示します | なし |
groups |
getInheritedGroups |
管理者が継承されたグループを表示します | なし |
groups |
removeGroup |
管理者がグループを削除する。 | - group_name |
IAM ロール イベント
次の iamRole イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
iamRole |
changeIamRoleAcl |
ワークスペース管理者が IAM ロールのアクセス許可を変更する。 | - targetUserId- shardName- resourceId- aclPermissionSet |
インジェスト イベント
次の ingestion イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
ingestion |
proxyFileUpload |
ユーザーが Azure Databricks ワークスペースにファイルをアップロードする。 | - x-databricks-content-length-0- x-databricks-total-files |
インスタンス プール イベント
次の instancePools イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
ユーザーがインスタンス プールのアクセス許可を変更する。 | - shardName- resourceId- targetUserId- aclPermissionSet |
instancePools |
create |
ユーザーがインスタンス プールを作成する。 | - enable_elastic_disk- preloaded_spark_versions- idle_instance_autotermination_minutes- instance_pool_name- node_type_id- custom_tags- max_capacity- min_idle_instances- aws_attributes |
instancePools |
delete |
ユーザーがインスタンス プールを削除する。 | - instance_pool_id |
instancePools |
edit |
ユーザーがインスタンス プールを編集する。 | - instance_pool_name- idle_instance_autotermination_minutes- min_idle_instances- preloaded_spark_versions- max_capacity- enable_elastic_disk- node_type_id- instance_pool_id- aws_attributes |
ジョブ イベント
次の jobs イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
jobs |
cancel |
ジョブの実行が取り消される。 | - run_id |
jobs |
cancelAllRuns |
ユーザーがジョブ上のすべての実行を取り消す。 | - job_id |
jobs |
changeJobAcl |
ユーザーがジョブのアクセス許可を更新する。 | - shardName- aclPermissionSet- resourceId- targetUserId |
jobs |
create |
ユーザーがジョブを作成する。 | - spark_jar_task- email_notifications- notebook_task- spark_submit_task- timeout_seconds- libraries- name- spark_python_task- job_type- new_cluster- existing_cluster_id- max_retries- schedule- run_as |
jobs |
delete |
ユーザーがジョブを削除する。 | - job_id |
jobs |
deleteRun |
ユーザーがジョブ実行を削除する。 | - run_id |
jobs |
getRunOutput |
ユーザーが実行の出力を取得する API 呼び出しを行う。 | - run_id- is_from_webapp |
jobs |
repairRun |
ユーザーがジョブ実行を修復する。 | - run_id- latest_repair_id- rerun_tasks |
jobs |
reset |
ジョブがリセットされる。 | - job_id- new_settings |
jobs |
resetJobAcl |
ユーザーがジョブのアクセス許可の変更を要求する。 | - grants- job_id |
jobs |
runCommand |
詳細監査ログが有効になっているときに使用可能。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブック内のセルに対応します。 | - jobId- runId- notebookId- executionTime- status- commandId- commandText |
jobs |
runFailed |
ジョブ実行が失敗する。 | - jobClusterType- jobTriggerType- jobId- jobTaskType- runId- jobTerminalState- idInJob- orgId- runCreatorUserName |
jobs |
runNow |
ユーザーがオンデマンド ジョブ実行をトリガーする。 | - notebook_params- job_id- jar_params- workflow_context |
jobs |
runStart |
検証とクラスターの作成後にジョブ実行が開始されたときに出力されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクの種類によって異なります。 一覧表示されているパラメーターに加えて、次のものが含まれることがあります。 - dashboardId (SQL ダッシュボード タスクの場合)- filePath (SQL ファイル タスクの場合)- notebookPath (ノートブック タスクの場合)- mainClassName (Spark JAR タスクの場合)- pythonFile (Spark JAR タスクの場合)- projectDirectory (dbt タスクの場合)- commands (dbt タスクの場合)- packageName (Python wheel タスクの場合)- entryPoint (Python wheel タスクの場合)- pipelineId (パイプライン タスクの場合)- queryIds (SQL クエリ タスクの場合)- alertId (SQL アラート タスクの場合) |
- taskDependencies- multitaskParentRunId- orgId- idInJob- jobId- jobTerminalState- taskKey- jobTriggerType- jobTaskType- runId- runCreatorUserName |
jobs |
runSucceeded |
ジョブ実行が成功する。 | - idInJob- jobId- jobTriggerType- orgId- runId- jobClusterType- jobTaskType- jobTerminalState- runCreatorUserName |
jobs |
runTriggered |
ジョブ スケジュールがそのスケジュールまたはトリガーに従って自動的にトリガーされる。 | - jobId- jobTriggeredType- runId |
jobs |
sendRunWebhook |
ジョブの開始時、完了時、または失敗時に Webhook が送信される。 | - orgId- jobId- jobWebhookId- jobWebhookEvent- runId |
jobs |
setTaskValue |
ユーザーがタスクの値を設定する。 | - run_id- key |
jobs |
submitRun |
ユーザーが API 経由で 1 回限りの実行を送信する。 | - shell_command_task- run_name- spark_python_task- existing_cluster_id- notebook_task- timeout_seconds- libraries- new_cluster- spark_jar_task |
jobs |
update |
ユーザーがジョブの設定を編集する。 | - job_id- fields_to_remove- new_settings- is_from_dlt |
Marketplace コンシューマー イベント
次の marketplaceConsumer イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
ユーザーが Databricks Marketplace を通じてデータ製品にアクセスする。 | - listing_id- listing_name- share_name- catalog_name- request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列 |
marketplaceConsumer |
requestDataProduct |
ユーザーがプロバイダーの承認を必要とするデータ製品へのアクセスを要求する。 | - listing_id- listing_name- catalog_name- request_context: データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列 |
Marketplace プロバイダー のイベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の marketplaceProvider イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
marketplaceProvider |
createListing |
メタストア管理者がプロバイダー プロファイルに一覧を作成する。 | - listing: リストに関する詳細の配列- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
updateListing |
メタストア管理者がプロバイダー プロファイルの一覧を更新する。 | - id- listing: リストに関する詳細の配列- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
deleteListing |
メタストア管理者がプロバイダー プロファイルの一覧を削除する。 | - id- request_context: プロバイダーのアカウントとメタストアに関する詳細の配列 |
marketplaceProvider |
updateConsumerRequestStatus |
メタストア管理者がデータ製品の要求を承認または拒否する。 | - listing_id- request_id- status- reason- share: 共有に関する情報の配列- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
createProviderProfile |
メタストア管理者がプロバイダー プロファイルを作成する。 | - provider: プロバイダーに関する情報の配列- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
updateProviderProfile |
メタストア管理者がプロバイダー プロファイルを更新する。 | - id- provider: プロバイダーに関する情報の配列- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
deleteProviderProfile |
メタストア管理者がプロバイダー プロファイルを削除する。 | - id- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider |
uploadFile |
プロバイダーがプロバイダー プロファイルにファイルをアップロードする。 | - request_context: プロバイダーのアカウントとメタストアに関する情報の配列- marketplace_file_type- display_name- mime_type- file_parent: ファイルの親の詳細の配列 |
marketplaceProvider |
deleteFile |
プロバイダーがプロバイダー プロファイルからファイルを削除する。 | - file_id- request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
ACL イベントの MLflow 成果物
次の mlflowAcledArtifact イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
ユーザーが成果物を読み取る呼び出しを行う。 | - artifactLocation- experimentId- runId |
mlflowAcledArtifact |
writeArtifact |
ユーザーが成果物を書き込む呼び出しを行う。 | - artifactLocation- experimentId- runId |
MLflow 実験イベント
次の mlflowExperiment イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
ユーザーが MLflow 実験を作成します。 | - experimentId- path- experimentName |
mlflowExperiment |
deleteMlflowExperiment |
ユーザーが MLflow 実験を削除する。 | - experimentId- path- experimentName |
mlflowExperiment |
moveMlflowExperiment |
ユーザーが MLflow 実験を移動する。 | - newPath- experimentId- oldPath |
mlflowExperiment |
restoreMlflowExperiment |
ユーザーが MLflow 実験を復元する。 | - experimentId- path- experimentName |
mlflowExperiment |
renameMlflowExperiment |
ユーザーが MLflow 実験の名前を変更する。 | - oldName- newName- experimentId- parentPath |
MLflow モデル レジストリ イベント
次の mlflowModelRegistry イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
ユーザーがモデル バージョンのステージ移行要求を承認する。 | - name- version- stage- archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
ユーザーが登録済みモデルのアクセス許可を更新する。 | - registeredModelId- userId |
modelRegistry |
createComment |
ユーザーがモデル バージョンにコメントを投稿する。 | - name- version |
modelRegistry |
createModelVersion |
ユーザーがモデル バージョンを作成する。 | - name- source- run_id- tags- run_link |
modelRegistry |
createRegisteredModel |
ユーザーが新しい登録済みモデルを作成する | - name- tags |
modelRegistry |
createRegistryWebhook |
ユーザーがモデル レジストリ イベント用の Webhook を作成する。 | - orgId- registeredModelId- events- description- status- creatorId- httpUrlSpec |
modelRegistry |
createTransitionRequest |
ユーザーがモデル バージョンのステージ移行要求を作成する。 | - name- version- stage |
modelRegistry |
deleteComment |
ユーザーがモデル バージョンのコメントを削除する。 | - id |
modelRegistry |
deleteModelVersion |
ユーザーがモデル バージョンを削除する。 | - name- version |
modelRegistry |
deleteModelVersionTag |
ユーザーがモデル バージョン タグを削除する。 | - name- version- key |
modelRegistry |
deleteRegisteredModel |
ユーザーが登録済みモデルを削除する | - name |
modelRegistry |
deleteRegisteredModelTag |
ユーザーが登録済みモデルのタグを削除する。 | - name- key |
modelRegistry |
deleteRegistryWebhook |
ユーザーがモデル レジストリ Webhook を削除する。 | - orgId- webhookId |
modelRegistry |
deleteTransitionRequest |
ユーザーがモデル バージョンのステージ移行要求を取り消す。 | - name- version- stage- creator |
modelRegistry |
finishCreateModelVersionAsync |
非同期のモデルのコピーが完了した。 | - name- version |
modelRegistry |
generateBatchInferenceNotebook |
バッチ推論ノートブックが自動生成される。 | - userId- orgId- modelName- inputTableOpt- outputTablePathOpt- stageOrVersion- modelVersionEntityOpt- notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Delta Live Tables パイプラインの推論ノートブックが自動生成される。 | - userId- orgId- modelName- inputTable- outputTable- stageOrVersion- notebookPath |
modelRegistry |
getModelVersionDownloadUri |
ユーザーがモデル バージョンをダウンロードするための URI を取得する。 | - name- version |
modelRegistry |
getModelVersionSignedDownloadUri |
ユーザーが署名済みモデル バージョンをダウンロードするための URI を取得する。 | - name- version- path |
modelRegistry |
listModelArtifacts |
ユーザーがモデルの成果物を一覧表示する呼び出しを行う。 | - name- version- path- page_token |
modelRegistry |
listRegistryWebhooks |
ユーザーがモデル内のすべてのレジストリ Webhookを一覧表示する呼び出しを行う。 | - orgId- registeredModelId |
modelRegistry |
rejectTransitionRequest |
ユーザーがモデル バージョンのステージ移行要求を拒否する。 | - name- version- stage |
modelRegistry |
renameRegisteredModel |
ユーザーが登録済みモデルの名前を変更する | - name- new_name |
modelRegistry |
setEmailSubscriptionStatus |
ユーザーが登録済みモデルのメール サブスクリプションの状態を更新する | |
modelRegistry |
setModelVersionTag |
ユーザーがモデル バージョン タグを設定する。 | - name- version- key- value |
modelRegistry |
setRegisteredModelTag |
ユーザーがモデル バージョン タグを設定する。 | - name- key- value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
ユーザーがレジストリ全体に対するメール通知の状態を更新する。 | - orgId- userId- subscriptionStatus |
modelRegistry |
testRegistryWebhook |
ユーザーがモデル レジストリ Webhook をテストする。 | - orgId- webhookId |
modelRegistry |
transitionModelVersionStage |
ユーザーがモデル バージョンの未完了のすべてのステージ移行要求の一覧を取得する。 | - name- version- stage- archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
モデル レジストリ Webhook がイベントによってトリガーされる。 | - orgId- registeredModelId- events- status |
modelRegistry |
updateComment |
ユーザーがモデル バージョンのコメントに編集を投稿する。 | - id |
modelRegistry |
updateRegistryWebhook |
ユーザーがモデル レジストリ Webhook を更新する。 | - orgId- webhookId |
モデル サービング イベント
次の serverlessRealTimeInference イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
ユーザーが推論エンドポイントのアクセス許可を更新する。 | - shardName- targetUserId- resourceId- aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
ユーザーが Model Serving エンドポイントを作成する。 | - name- config |
serverlessRealTimeInference |
deleteServingEndpoint |
ユーザーが Model Serving エンドポイントを削除する。 | - name |
serverlessRealTimeInference |
disable |
ユーザーが登録済みモデルの Model Serving を無効にする。 | - registered_mode_name |
serverlessRealTimeInference |
enable |
ユーザーが登録済みモデルの Model Serving を有効にする。 | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
ユーザーがクエリ スキーマ プレビューを取得するための呼び出しを行う。 | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
ユーザーが Model Serving エンドポイントを更新する。 | - name- served_models- traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
ユーザーは、推論エンドポイントのレート制限を更新します。 レート制限は、Foundation Model API のトークンごとの支払いおよび外部モデル エンドポイントにのみ適用されます。 | - name- rate_limits |
ノートブック イベント
次の notebook イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
notebook |
attachNotebook |
ノートブックがクラスターにアタッチされる。 | - path- clusterId- notebookId |
notebook |
cloneNotebook |
ユーザーがノートブックを複製する。 | - notebookId- path- clonedNotebookId- destinationPath |
notebook |
createNotebook |
ノートブックが作成される。 | - notebookId- path |
notebook |
deleteFolder |
ノートブック フォルダーが削除される。 | - path |
notebook |
deleteNotebook |
ノートブックが削除される。 | - notebookId- notebookName- path |
notebook |
detachNotebook |
ノートブックがクラスターからデタッチされる。 | - notebookId- clusterId- path |
notebook |
downloadLargeResults |
ユーザーがノートブックに表示するには大きすぎるクエリ結果をダウンロードする。 | - notebookId- notebookFullPath |
notebook |
downloadPreviewResults |
ユーザーがクエリ結果をダウンロードする。 | - notebookId- notebookFullPath |
notebook |
importNotebook |
ユーザーがノートブックをインポートする。 | - path |
notebook |
moveFolder |
ノートブック フォルダーがある場所から別の場所に移動される。 | - oldPath- newPath- folderId |
notebook |
moveNotebook |
ノートブックがある場所から別の場所に移動される。 | - newPath- oldPath- notebookId |
notebook |
renameNotebook |
ノートブックの名前が変更される。 | - newName- oldName- parentPath- notebookId |
notebook |
restoreFolder |
削除されたフォルダーが復元される。 | - path |
notebook |
restoreNotebook |
削除されたノートブックが復元される。 | - path- notebookId- notebookName |
notebook |
runCommand |
詳細監査ログが有効になっているときに使用可能。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドは、ノートブック内のセルに対応します。executionTime は秒単位で測定されます。 |
- notebookId- executionTime- status- commandId- commandText- commandLanguage |
notebook |
takeNotebookSnapshot |
ジョブ サービスまたは MLflow の実行時にノートブック スナップショットが作成される。 | - path |
Partner Connect イベント
次の partnerHub イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
ワークスペース管理者がパートナー ソリューションへの接続を設定する。 | - partner_name |
partnerHub |
deletePartnerConnection |
ワークスペース管理者がパートナー接続を削除する。 | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
ワークスペース管理者がパートナー接続ファイルをダウンロードする。 | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
ワークスペース管理者がパートナー接続のリソースを設定する。 | - partner_name |
予測最適化イベント
次の predictiveOptimization イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
predictiveOptimization |
PutMetrics |
予測最適化によってテーブルとワークロードのメトリックが更新されたときに記録されるため、サービスは最適化操作をよりインテリジェントにスケジュールできる。 | - table_metrics_list- start_time- end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
アカウント管理者がメタストアの予測最適化を有効または無効にする。 | - metastore_id- enable |
リモート履歴サービス イベント
次の remoteHistoryService イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
ユーザーが Github 資格情報を追加する | なし |
remoteHistoryService |
deleteUserGitHubCredentials |
ユーザーが Github 資格情報を削除する | なし |
remoteHistoryService |
updateUserGitHubCredentials |
ユーザーが Github 資格情報を更新する | なし |
Git フォルダー イベント
次の repos イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
repos |
checkoutBranch |
ユーザーがリポジトリのブランチをチェックアウトする。 | - id- branch |
repos |
commitAndPush |
ユーザーがリポジトリにコミットしてプッシュする。 | - id- message- files- checkSensitiveToken |
repos |
createRepo |
ユーザーがワークスペースにリポジトリを作成する | - url- provider- path |
repos |
deleteRepo |
ユーザーがリポジトリを削除する。 | - id |
repos |
discard |
ユーザーがリポジトリへのコミットを破棄する。 | - id- file_paths |
repos |
getRepo |
ユーザーが 1 つのリポジトリに関する情報を取得する呼び出しを行う。 | - id |
repos |
listRepos |
ユーザーが管理アクセス許可を持つすべてのリポジトリを取得する呼び出しを行う。 | - path_prefix- next_page_token |
repos |
pull |
ユーザーがリポジトリから最新のコミットをプルする。 | - id |
repos |
updateRepo |
ユーザーがリポジトリを別のブランチまたはタグ、あるいは同じブランチの最新のコミットに更新する。 | - id- branch- tag- git_url- git_provider |
シークレット イベント
次の secrets イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
secrets |
createScope |
ユーザーがシークレット スコープを作成する。 | - scope- initial_manage_principal- scope_backend_type |
secrets |
deleteAcl |
ユーザーがシークレット スコープの ACL を削除する。 | - scope- principal |
secrets |
deleteScope |
ユーザーがシークレット スコープを削除する。 | - scope |
secrets |
deleteSecret |
ユーザーがスコープからシークレットを削除する。 | - key- scope |
secrets |
getAcl |
ユーザーがシークレット スコープの ACL を取得する。 | - scope- principal |
secrets |
getSecret |
ユーザーがスコープからシークレットを取得する。 | - key- scope |
secrets |
listAcls |
ユーザーがシークレット スコープの ACL を一覧表示する呼び出しを行う。 | - scope |
secrets |
listScopes |
ユーザーがシークレット スコープを一覧表示する呼び出しを行う | なし |
secrets |
listSecrets |
ユーザーがスコープ内のシークレットを一覧表示する呼び出しを行う。 | - scope |
secrets |
putAcl |
ユーザーがシークレット スコープの ACL を変更する。 | - scope- principal- permission |
secrets |
putSecret |
ユーザーがスコープ内でシークレットを追加または編集する。 | - string_value- key- scope |
SQL テーブルへのアクセス イベント
注意
sqlPermissions サービスには、レガシの Hive メタストア テーブル アクセス制御に関連するイベントが含まれています。 Databricks では、Hive メタストアによって管理されるテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。
次の sqlPermissions イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
オブジェクトのワークスペース管理者または所有者がオブジェクトの所有権を譲渡する。 | - securable- principal |
sqlPermissions |
createSecurable |
ユーザーがセキュリティ保護可能なオブジェクトを作成する。 | - securable |
sqlPermissions |
denyPermission |
オブジェクト所有者がセキュリティ保護可能なオブジェクトに対する特権を拒否する。 | - permission |
sqlPermissions |
grantPermission |
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対するアクセス許可を付与する。 | - permission |
sqlPermissions |
removeAllPermissions |
ユーザーがセキュリティ保護可能なオブジェクトをドロップする。 | - securable |
sqlPermissions |
renameSecurable |
ユーザーがセキュリティ保護可能なオブジェクトの名前を変更する。 | - before- after |
sqlPermissions |
requestPermissions |
ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求する。 | - requests |
sqlPermissions |
revokePermission |
オブジェクト所有者がセキュリティ保護可能なオブジェクトに対するアクセス許可を取り消す。 | - permission |
sqlPermissions |
showPermissions |
ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を表示する。 | - securable- principal |
SSH イベント
次の ssh イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
ssh |
login |
Spark ドライバーへの SSH のエージェント ログイン。 | - containerId- userName- port- publicKey- instanceId |
ssh |
logout |
Spark ドライバーからの SSH のエージェント ログアウト。 | - userName- containerId- instanceId |
ベクトル検索イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の vectorSearch イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
vectorSearch |
createEndpoint |
ユーザーがベクトル検索エンドポイントを作成します。 | - name- endpoint_type |
vectorSearch |
deleteEndpoint |
ユーザーがベクトル検索エンドポイントを削除します。 | - name |
vectorSearch |
createVectorIndex |
ユーザーがベクトル検索インデックスを作成します。 | - name- endpoint_name- primary_key- index_type- delta_sync_index_spec- direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
ユーザーがベクトル検索インデックスを削除します。 | - name- endpoint_name- delete_embedding_writeback_table |
Web ターミナル イベント
次の webTerminal イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
webTerminal |
startSession |
ユーザーが Web ターミナル セッションを開始する。 | - socketGUID- clusterId- serverPort- ProxyTargetURI |
webTerminal |
closeSession |
ユーザーが Web ターミナル セッションを終了する。 | - socketGUID- clusterId- serverPort- ProxyTargetURI |
ワークスペース イベント
次の workspace イベントがワークスペース レベルでログされます。
| サービス | アクション名 | 説明 | 要求パラメーター |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
ワークスペースへのアクセス許可が変更される。 | - shardName- targetUserId- aclPermissionSet- resourceId |
workspace |
deleteSetting |
ワークスペースから設定が削除される。 | - settingKeyTypeName- settingKeyName- settingTypeName- settingName |
workspace |
fileCreate |
ユーザーがワークスペースにファイルを作成する。 | - path |
workspace |
fileDelete |
ユーザーがワークスペース内のファイルを削除する。 | - path |
workspace |
fileEditorOpenEvent |
ユーザーがファイル エディターを開く。 | - notebookId- path |
workspace |
getRoleAssignment |
ユーザーがワークスペースのユーザー ロールを取得する。 | - account_id- workspace_id |
workspace |
mintOAuthAuthorizationCode |
社内の OAuth 認可コードがワークスペース レベルで作成されたときに記録される。 | - client_id |
workspace |
mintOAuthToken |
OAuth トークンがワークスペースに対して作成される。 | - grant_type- scope- expires_in- client_id |
workspace |
moveWorkspaceNode |
ワークスペース管理者がワークスペース ノードを移動する。 | - destinationPath- path |
workspace |
purgeWorkspaceNodes |
ワークスペース管理者がワークスペース ノードを消去する。 | - treestoreId |
workspace |
reattachHomeFolder |
ワークスペースに再追加されたユーザーに対して既存のホーム フォルダーが再アタッチされる。 | - path |
workspace |
renameWorkspaceNode |
ワークスペース管理者がワークスペース ノードの名前を変更する。 | - path- destinationPath |
workspace |
unmarkHomeFolder |
ユーザーがワークスペースから削除されるときに、ホーム フォルダーの特殊な属性が削除される。 | - path |
workspace |
updateRoleAssignment |
ワークスペース管理者がワークスペース ユーザーのロールを更新する。 | - account_id- workspace_id- principal_id |
workspace |
updatePermissionAssignment |
ワークスペース管理者が、ワークスペースにプリンシパルを追加する。 | - principal_id- permissions |
workspace |
setSetting |
ワークスペース管理者がワークスペース設定を構成する。 | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
workspace |
workspaceConfEdit |
ワークスペース管理者が設定を更新する (詳細監査ログの有効化など)。 | - workspaceConfKeys- workspaceConfValues |
workspace |
workspaceExport |
ユーザーがワークスペースからノートブックをエクスポートする。 | - workspaceExportDirectDownload- workspaceExportFormat- notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
OAuth クライアントがワークスペース サービスで認証される。 | - user |
課金対象使用状況のイベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の accountBillableUsage イベントがアカウント レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
ユーザーが、使用状況グラフ機能を使用し、アカウントに対して集計された課金対象使用状況 (1 日あたりの使用量) にアクセスした。 | - account_id- window_size- start_time- end_time- meter_name- workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
ユーザーが、使用状況のダウンロード機能を使用し、アカウントに対する詳細な課金対象使用状況 (クラスターあたりの使用量) にアクセスした。 | - account_id- start_month- end_month- with_pii |
アカウント レベルのアカウント イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の accounts イベントがアカウント レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
OAuth クライアントが認証される。 | - endpoint |
accounts |
accountIpAclsValidationFailed |
IP アクセス許可の検証が失敗する。 statusCode 403 が返される。 | - sourceIpAddress- user: メール アドレスとしてログされる |
accounts |
activateUser |
ユーザーが、非アクティブ化された後に再アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。 | - targetUserName- endpoint- targetUserId |
accounts |
add |
ユーザーが Azure Databricks アカウントに追加される。 | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
ユーザーがアカウント レベルのグループに追加される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
addPrincipalsToGroup |
ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループに追加される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
createGroup |
アカウント レベルのグループが作成される。 | - endpoint- targetGroupId- targetGroupName |
accounts |
deactivateUser |
ユーザーが非アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。 | - targetUserName- endpoint- targetUserId |
accounts |
delete |
ユーザーが Azure Databricks アカウントから削除される。 | - targetUserId- targetUserName- endpoint |
accounts |
deleteSetting |
アカウント管理者が Azure Databricks アカウントから設定を削除する。 | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
garbageCollectDbToken |
ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。 | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
ユーザーが [ユーザー設定] からトークンを生成するか、サービスがトークンを生成する。 | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
login |
ユーザーがアカウント コンソールにログインする。 | - user |
accounts |
logout |
ユーザーがアカウント コンソールからログアウトする。 | - user |
accounts |
oidcBrowserLogin |
ユーザーが OpenID Connect ブラウザー ワークフローを使用して自分のアカウントにログインする。 | - user |
accounts |
oidcTokenAuthorization |
OIDC トークンがアカウント管理者ログインに対して認証される。 | - user |
accounts |
removeAccountAdmin |
アカウント管理者がアカウント管理者のアクセス許可を別のユーザーから削除する。 | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
グループがアカウントから削除される。 | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
ユーザーがアカウントレベルのグループから削除される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
removePrincipalsFromGroup |
ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループから削除される。 | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
setAccountAdmin |
アカウント管理者がアカウント管理者ロールを別のユーザーに割り当てる。 | - targetUserName- endpoint- targetUserId |
accounts |
setSetting |
アカウント管理者がアカウントレベルの設定を更新する。 | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
tokenLogin |
ユーザーがトークンを使用して Databricks にログインする。 | - tokenId- user |
accounts |
updateUser |
アカウント管理者がユーザー アカウントを更新する。 | - targetUserName- endpoint- targetUserId |
accounts |
updateGroup |
アカウント管理者がアカウントレベルのグループを更新する。 | - endpoint- targetGroupId- targetGroupName |
accounts |
validateEmail |
ユーザーがアカウントの作成後にメールを検証するとき。 | - endpoint- targetUserName- targetUserId |
アカウントレベルのアクセス制御イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の accountsAccessControl イベントがアカウント レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
ルール セットが変更されたとき。 | - account_id- name- rule_set |
アカウント管理イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の accountsManager イベントがアカウント レベルでログされます。 これらのイベントは、アカウント コンソールでアカウント管理者が行う構成と関連しています。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
アカウント管理者がネットワーク接続構成を作成しました。 | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
アカウント管理者がネットワーク接続構成に関する詳細を要求します。 | - account_id- network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
アカウント管理者がアカウント内のすべてのネットワーク接続構成を一覧表示します。 | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
アカウント管理者がネットワーク接続構成を削除しました。 | - account_id- network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
アカウント管理者がプライベート エンドポイントルールを作成しました。 | - account_id- network_connectivity_config_id- azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
アカウント管理者がプライベート エンドポイントルールに関する詳細を要求します。 | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
アカウント管理者がネットワーク接続構成の下にあるすべてのプライベート エンドポイントルールを一覧表示します。 | - account_id- network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
アカウント管理者がプライベート エンドポイントルールを削除しました。 | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
アカウント管理者がプライベート エンドポイントルールを更新しました。 | - account_id- network_connectivity_config_id- rule_id- azure_private_endpoint_rule |
予算ポリシー イベント
次の budgetPolicyCentral イベントは、アカウント レベルでログに記録され、予算ポリシーに関連しています。 予算ポリシーを使用したサーバーレス使用量の属性の設定を参照してください。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
ワークスペース管理者または課金管理者が予算ポリシーを作成します。 新しい policy_id が response 列に記録されます。 |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
ワークスペース管理者、課金管理者、またはポリシー マネージャーは、予算ポリシーを更新します。 | - policy.policy_id- policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
ワークスペース管理者、課金管理者、またはポリシー マネージャーが予算ポリシーを削除します。 | - policy_id |
Unity Catalog イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
次の診断イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスの下でログに記録されます。 Delta Sharing イベントについては、「Delta Sharing イベント」参照してください。 Unity Catalog 監視イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログできます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
unityCatalog |
createMetastore |
アカウント管理者がメタストアを作成する。 | - name- storage_root- workspace_id- metastore_id |
unityCatalog |
getMetastore |
アカウント管理者がメタストア ID を要求する。 | - id- workspace_id- metastore_id |
unityCatalog |
getMetastoreSummary |
アカウント管理者がメタストアに関する詳細を要求する。 | - workspace_id- metastore_id |
unityCatalog |
listMetastores |
アカウント管理者がアカウント内のすべてのメタストアの一覧を要求する。 | - workspace_id |
unityCatalog |
updateMetastore |
アカウント管理者がメタストアを更新する。 | - id- owner- workspace_id- metastore_id |
unityCatalog |
deleteMetastore |
アカウント管理者がメタストアを削除する。 | - id- force- workspace_id- metastore_id |
unityCatalog |
updateMetastoreAssignment |
アカウント管理者がメタストアのワークスペース割り当てを更新する。 | - workspace_id- metastore_id- default_catalog_name |
unityCatalog |
createExternalLocation |
アカウント管理者が外部の場所を作成する。 | - name- skip_validation- url- credential_name- workspace_id- metastore_id |
unityCatalog |
getExternalLocation |
アカウント管理者が外部の場所に関する詳細を要求する。 | - name_arg- include_browse- workspace_id- metastore_id |
unityCatalog |
listExternalLocations |
アカウント管理者がアカウント内のすべての外部の場所の一覧を要求する。 | - url- max_results- workspace_id- metastore_id |
unityCatalog |
updateExternalLocation |
アカウント管理者が外部の場所を更新する。 | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteExternalLocation |
アカウント管理者が外部の場所を削除する。 | - name_arg- force- workspace_id- metastore_id |
unityCatalog |
createCatalog |
ユーザーがカタログを作成する。 | - name- comment- workspace_id- metastore_id |
unityCatalog |
deleteCatalog |
ユーザーがカタログを削除する。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
getCatalog |
ユーザーがカタログに関する詳細を要求する。 | - name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
updateCatalog |
ユーザーがカタログを更新する。 | - name_arg- isolation_mode- comment- workspace_id- metastore_id |
unityCatalog |
listCatalog |
ユーザーがメタストア内のすべてのカタログを一覧表示する呼び出しを行う。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
createSchema |
ユーザーがスキーマを作成する。 | - name- catalog_name- comment- workspace_id- metastore_id |
unityCatalog |
deleteSchema |
ユーザーがスキーマを削除する。 | - full_name_arg- force- workspace_id- metastore_id |
unityCatalog |
getSchema |
ユーザーがスキーマに関する詳細を要求する。 | - full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
listSchema |
ユーザーがカタログ内のすべてのスキーマの一覧を要求する。 | - catalog_name |
unityCatalog |
updateSchema |
ユーザーがスキーマを更新する。 | - full_name_arg- name- workspace_id- metastore_id- comment |
unityCatalog |
createStagingTable |
- name- catalog_name- schema_name- workspace_id- metastore_id |
|
unityCatalog |
createTable |
ユーザーがテーブルを作成する。 要求パラメーターは、作成されたテーブルの種類によって異なります。 | - name- data_source_format- catalog_name- schema_name- storage_location- columns- dry_run- table_type- view_dependencies- view_definition- sql_path- comment |
unityCatalog |
deleteTable |
ユーザーがテーブルを削除する。 | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
getTable |
ユーザーがテーブルに関する詳細を要求する。 | - include_delta_metadata- full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
ユーザーがスキーマ内のすべてのテーブルを一覧表示する呼び出しを行う。 | - catalog_name- schema_name- workspace_id- metastore_id- include_browse |
unityCatalog |
listTableSummaries |
ユーザーがメタストア内のスキーマとカタログについてのテーブルのまとめの配列を取得する。 | - catalog_name- schema_name_pattern- workspace_id- metastore_id |
unityCatalog |
updateTables |
ユーザーがテーブルを更新する。 表示される要求パラメーターは、行われたテーブル更新の種類によって異なります。 | - full_name_arg- table_type- table_constraint_list- data_source_format- columns- dependent- row_filter- storage_location- sql_path- view_definition- view_dependencies- owner- comment- workspace_id- metastore_id |
unityCatalog |
createStorageCredential |
アカウント管理者がストレージ資格情報を作成する。 クラウド プロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。 | - name- comment- workspace_id- metastore_id |
unityCatalog |
listStorageCredentials |
アカウント管理者がアカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行う。 | - workspace_id- metastore_id |
unityCatalog |
getStorageCredential |
アカウント管理者がストレージ資格情報に関する詳細を要求する。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateStorageCredential |
アカウント管理者がストレージ資格情報を更新する。 | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteStorageCredential |
アカウント管理者がストレージ資格情報を削除する。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
generateTemporaryTableCredential |
テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して誰が何をいつクエリしたかを判断できます。 | - credential_id- credential_type- is_permissions_enforcing_client- table_full_name- operation- table_id- workspace_id- table_url- metastore_id |
unityCatalog |
generateTemporaryPathCredential |
パスに対して一時的な資格情報が付与されるたびにログに記録されます。 | - url- operation- make_path_only_parent- workspace_id- metastore_id |
unityCatalog |
getPermissions |
ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得する呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getEffectivePermissions |
ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得する呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
updatePermissions |
ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を更新する。 | - securable_type- changes- securable_full_name- workspace_id- metastore_id |
unityCatalog |
metadataSnapshot |
ユーザーが以前のテーブル バージョンのメタデータに対してクエリを実行する。 | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
ユーザーが以前のテーブル バージョンのメタデータとアクセス許可に対してクエリを実行する。 | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
updateMetadataSnapshot |
ユーザーが以前のテーブル バージョンのメタデータを更新する。 | - table_list_snapshots- schema_list_snapshots- workspace_id- metastore_id |
unityCatalog |
getForeignCredentials |
ユーザーが外部キーに関する詳細を取得する呼び出しを行う。 | - securables- workspace_id- metastore_id |
unityCatalog |
getInformationSchema |
ユーザーがスキーマに関する詳細を取得する呼び出しを行う。 | - table_name- page_token- required_column_names- row_set_type- required_column_names- workspace_id- metastore_id |
unityCatalog |
createConstraint |
ユーザーがテーブルの制約を作成する。 | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
deleteConstraint |
ユーザーがテーブルの制約を削除する。 | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
createPipeline |
ユーザーが Unity Catalog パイプラインを作成する。 | - target_catalog_name- has_workspace_definition- id- workspace_id- metastore_id |
unityCatalog |
updatePipeline |
ユーザーが Unity Catalog パイプラインを更新する。 | - id_arg- definition_json- id- workspace_id- metastore_id |
unityCatalog |
getPipeline |
ユーザーが Unity Catalog パイプラインに関する詳細を要求する。 | - id- workspace_id- metastore_id |
unityCatalog |
deletePipeline |
ユーザーが Unity Catalog パイプラインを削除する。 | - id- workspace_id- metastore_id |
unityCatalog |
deleteResourceFailure |
リソースの削除に失敗する | なし |
unityCatalog |
createVolume |
ユーザーが Unity Catalog ボリュームを作成する。 | - name- catalog_name- schema_name- volume_type- storage_location- owner- comment- workspace_id- metastore_id |
unityCatalog |
getVolume |
ユーザーが Unity Catalog ボリュームに関する情報を取得するための呼び出しを行う。 | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
updateVolume |
ユーザーは、ALTER VOLUME または COMMENT ON を呼び出して Unity Catalog ボリュームのメタデータを更新します。 |
- volume_full_name- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteVolume |
ユーザーが Unity Catalog ボリュームを削除する。 | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
listVolumes |
ユーザーが呼び出しを行って、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得する。 | - catalog_name- schema_name- workspace_id- metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
ユーザーがボリュームに対して読み取りまたは書き込みを実行すると、一時的な資格情報が生成されます。 このイベントを使用して誰がいつボリュームにアクセスしたかを判断できます。 | - volume_id- volume_full_name- operation- volume_storage_location- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
getTagSecurableAssignments |
セキュリティ保護可能なタグの割り当てが取得されます | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getTagSubentityAssignments |
サブエンティティのタグ割り当てが取得されます | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
セキュリティ保護可能なタグの割り当てが更新されます | - securable_type- securable_full_name- workspace_id- metastore_id- changes |
unityCatalog |
UpdateTagSubentityAssignments |
サブエンティティのタグ割り当てが更新されます | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name- changes |
unityCatalog |
createRegisteredModel |
ユーザーが Unity Catalog 登録済みモデルを作成する。 | - name- catalog_name- schema_name- owner- comment- workspace_id- metastore_id |
unityCatalog |
getRegisteredModel |
ユーザーが Unity Catalog 登録済みのモデルに関する情報を取得するための呼び出しを行う。 | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
updateRegisteredModel |
ユーザーが Unity Catalog 登録済みモデルのメタデータを更新する。 | - full_name_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteRegisteredModel |
ユーザーが Unity Catalog 登録済みモデルを削除する。 | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
listRegisteredModels |
ユーザーが、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ全体でモデルを一覧表示する呼び出しを行う。 | - catalog_name- schema_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
createModelVersion |
ユーザーが Unity Catalog にモデル バージョンを作成する。 | - catalog_name- schema_name- model_name- source- comment- workspace_id- metastore_id |
unityCatalog |
finalizeModelVersion |
ユーザーがモデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「最終処理」する呼び出しを行い、推論ワークフローで読み取り専用で使用できるようにする。 | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersion |
ユーザーがモデル バージョンに関する詳細を取得する呼び出しを行う。 | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersionByAlias |
ユーザーが別名を使用してモデル バージョンに関する詳細を取得する呼び出しを行う。 | - full_name_arg- include_aliases- alias_arg- workspace_id- metastore_id |
unityCatalog |
updateModelVersion |
モデル バージョンのメタデータを更新する。 | - full_name_arg- version_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteModelVersion |
ユーザーがモデル バージョンを削除する。 | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
listModelVersions |
ユーザーが登録済みモデル内の Unity Catalog モデル バージョンの一覧を取得するための呼び出しを行う。 | - catalog_name- schema_name- model_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
一時的な資格情報は、ユーザーがモデル バージョンで書き込み (最初のモデル バージョンの作成中) または読み取り (モデル バージョンが終了した後) を実行したときに生成されます。 このイベントを使用して誰がいつモデル バージョンにアクセスしたかを判断できます。 | - full_name_arg- version_arg- operation- model_version_url- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
setRegisteredModelAlias |
ユーザーが Unity Catalog 登録済みモデルに別名を設定する。 | - full_name_arg- alias_arg- version |
unityCatalog |
deleteRegisteredModelAlias |
ユーザーが Unity Catalog 登録済みモデルの別名を削除する。 | - full_name_arg- alias_arg |
unityCatalog |
getModelVersionByAlias |
ユーザーが別名で Unity Catalog モデル バージョンを取得する。 | - full_name_arg- alias_arg |
unityCatalog |
createConnection |
新しい外部接続が作成される。 | - name- connection_type- workspace_id- metastore_id |
unityCatalog |
deleteConnection |
外部接続が削除される。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
getConnection |
外部接続が取得される。 | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateConnection |
外部接続が更新される。 | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listConnections |
メタストア内の外部接続が一覧表示される。 | - workspace_id- metastore_id |
unityCatalog |
createFunction |
ユーザーが新しい関数を作成する。 | - function_info- workspace_id- metastore_id |
unityCatalog |
updateFunction |
ユーザーが関数を更新する。 | - full_name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listFunctions |
ユーザーが特定の親カタログまたはスキーマ内にあるすべての関数のリストを要求する。 | - catalog_name- schema_name- include_browse- workspace_id- metastore_id |
unityCatalog |
getFunction |
ユーザーが親カタログまたはスキーマに関数を要求する。 | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
deleteFunction |
ユーザーが親カタログまたはスキーマに関数を要求する。 | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos- metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos- metastore_id |
Delta Sharing イベント
Note
このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。
Delta Sharing イベントは、データ プロバイダー アカウントに記録されたイベントと、データ受信者アカウントに記録されたイベントの 2 つのセクションに分かれています。
Delta Sharing プロバイダー イベント
次の監査ログ イベントは、プロバイダーのアカウントのログに記録されます。 受信者によって実行されるアクションは、deltaSharing プレフィックスで始まります。 その各ログには、request_params.metastore_id (共有データを管理するメタストア) と、userIdentity.email (アクティビティを開始したユーザーの ID) も含まれます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
データ受信者が共有リストを要求する。 | - options: この要求で提供される改ページオプション。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingGetShare |
データ受信者が共有に関する詳細を要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListSchemas |
データ受信者が共有スキーマを要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- options: この要求で提供される改ページオプション。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListAllTables |
データ受信者がすべての共有テーブルのリストを要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListTables |
データ受信者が共有テーブル リストを要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- options: この要求で提供される改ページオプション。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingGetTableMetadata |
データ受信者がテーブルのメタデータに関する詳細を要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- schema: スキーマの名前。- name: テーブルの名前。- predicateHints: クエリに含まれる述語。- limitHints: 返す最大行数。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingGetTableVersion |
データ受信者がテーブル バージョンに関する詳細を要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- schema: スキーマの名前。- name: テーブルの名前。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingQueryTable |
データ受信者が共有テーブルにクエリを実行したときにログに記録される。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- schema: スキーマの名前。- name: テーブルの名前。- predicateHints: クエリに含まれる述語。- limitHints: 返す最大行数。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingQueryTableChanges |
データ受信者がテーブルの変更データにクエリを実行したときにログに記録される。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- schema: スキーマの名前。- name: テーブルの名前。- cdf_options: データ フィード のオプションを変更します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingQueriedTable |
データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照) |
- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingQueriedTableChanges |
データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照)。 |
- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListNotebookFiles |
データ受信者が共有ノートブック ファイルのリストを要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingQueryNotebookFile |
データ受信者が共有ノートブック ファイルにクエリを実行する。 | - file_name: ノートブック ファイルの名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListFunctions |
データ受信者が、親スキーマ内の関数のリストを要求する。 | - share: 共有の名前。- schema: 関数の親スキーマの名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListAllFunctions |
データ受信者がすべての共有関数のリストを要求する。 | - share: 共有の名前。- schema: 関数の親スキーマの名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListFunctionVersions |
データ受信者が関数バージョンのリストを要求する。 | - share: 共有の名前。- schema: 関数の親スキーマの名前。- function: 関数の名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListVolumes |
データ受信者がスキーマ内の共有ボリュームのリストを要求する。 | - share: 共有の名前。- schema: ボリュームの親スキーマ。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
deltaSharingListAllVolumes |
データ受信者がすべての共有ボリュームを要求する。 | - share: 共有の名前。- recipient_name: アクションを実行している受信者を示します。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
updateMetastore |
プロバイダーがメタストアを更新する。 | - delta_sharing_scope: 値は INTERNAL または INTERNAL_AND_EXTERNAL にできる。- delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合は、受信者トークンの有効期間が更新されたことを示します。 |
unityCatalog |
createRecipient |
プロバイダーがデータ受信者を作成する。 | - name: 受信者の名前。- comment: 受信者のコメント。- ip_access_list.allowed_ip_addresses: 受信者 IP アドレス許可リスト。 |
unityCatalog |
deleteRecipient |
プロバイダーがデータ受信者を削除する。 | - name: 受信者の名前。 |
unityCatalog |
getRecipient |
プロバイダーがデータ受信者に関する詳細を要求する。 | - name: 受信者の名前。 |
unityCatalog |
listRecipients |
プロバイダーがすべてのデータ受信者のリストを要求する。 | なし |
unityCatalog |
rotateRecipientToken |
プロバイダーが受信者のトークンのローテーションを行う。 | - name: 受信者の名前。- comment: ローテーション コマンドで指定されたコメント。 |
unityCatalog |
updateRecipient |
プロバイダーがデータ受信者の属性を更新する。 | - name: 受信者の名前。- updates: 共有に対して追加または削除された受信者属性の JSON 表現。 |
unityCatalog |
createShare |
プロバイダーがデータ受信者の属性を更新する。 | - name: 共有の名前。- comment: 共有のコメント。 |
unityCatalog |
deleteShare |
プロバイダーがデータ受信者の属性を更新する。 | - name: 共有の名前。 |
unityCatalog |
getShare |
プロバイダーが共有に関する詳細を要求する。 | - name: 共有の名前。- include_shared_objects: 共有のテーブル名が要求に含まれていたかどうか。 |
unityCatalog |
updateShare |
プロバイダーが共有からデータ資産を追加または削除する。 | - name: 共有の名前。- updates: 共有に対して追加または削除されたデータ資産の JSON 表現。 各項目には、action (追加または削除)、name (テーブルの実際の名前)、shared_as (資産の共有された名前 (実際の名前と異なる場合))、および partition_specification (パーテションの仕様が指定されていた場合) が含まれる。 |
unityCatalog |
listShares |
プロバイダーが共有リストを要求する。 | なし |
unityCatalog |
getSharePermissions |
プロバイダーが共有のアクセス許可に関する詳細を要求する。 | - name: 共有の名前。 |
unityCatalog |
updateSharePermissions |
プロバイダーは共有のアクセス許可を更新する。 | - name: 共有の名前。- changes: 更新されたアクセス許可の JSON 表現。 各変更には、principal (アクセス許可を付与または取り消すユーザーまたはグループ)、add (付与されたアクセス許可のリスト)、および remove (取り消されたアクセス許可のリスト) が含まれる。 |
unityCatalog |
getRecipientSharePermissions |
プロバイダーが受信者の共有アクセス許可に関する詳細を要求する。 | - name: 共有の名前。 |
unityCatalog |
getActivationUrlInfo |
プロバイダーがアクティブ化リンクのアクティビティに関する詳細を要求する。 | - recipient_name: アクティブ化 URL を開いた受信者の名前。- is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、および要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレス。 |
unityCatalog |
generateTemporaryVolumeCredential |
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成される。 | - share_name: 受信者が要求するときに経由する共有の名前。- share_id: 共有の ID。- share_owner: 共有の所有者。- recipient_name: 資格情報を要求する受信者の名前。- recipient_id: 受信者の ID。- volume_full_name: ボリュームの完全な 3 レベルの名前。- volume_id: ボリュームの ID。- volume_storage_location: ボリューム ルートのクラウド パス。- operation: READ_VOLUME または WRITE_VOLUME のいずれか。 ボリューム共有の場合は、READ_VOLUME だけがサポートされます。- credential_id: 資格情報の ID。- credential_type: 資格情報の種類。 値は常に StorageCredential。- workspace_id: 共有ボリュームに対する要求の場合、値は常に 0。 |
unityCatalog |
generateTemporaryTableCredential |
受信者が共有テーブルにアクセスするための一時的な資格情報が生成される。 | - share_name: 受信者が要求するときに経由する共有の名前。- share_id: 共有の ID。- share_owner: 共有の所有者。- recipient_name: 資格情報を要求する受信者の名前。- recipient_id: 受信者の ID。- table_full_name: ボリュームの完全な 3 レベルの名前。- table_id: テーブルの ID。- table_url: テーブル ルートのクラウド パス。- operation: READ または READ_WRITE のいずれか。- credential_id: 資格情報の ID。- credential_type: 資格情報の種類。 値は常に StorageCredential。- workspace_id: 共有テーブルに対する要求の場合は常に 0。 |
Delta Sharing 受信者イベント
次のイベントは、データ受信者のアカウントのログに記録されます。 これらのイベントにより、共有データと AI 資産の受信者アクセスと、プロバイダーの管理に関連付けられているイベントが記録されます。 これらの各イベントには、次の要求パラメーターも含まれています。
recipient_name: データ プロバイダーのシステム内の受信者の名前。metastore_id: データ プロバイダーのシステム内のメタストアの名前。sourceIPAddress: 要求元の IP アドレス。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
データ受信者が共有テーブル バージョンに関する詳細を要求する。 | - share: 共有の名前。- schema: テーブルの親スキーマの名前。- name: テーブルの名前。 |
unityCatalog |
deltaSharingProxyGetTableMetadata |
データ受信者が共有テーブルのメタデータに関する詳細を要求する。 | - share: 共有の名前。- schema: テーブルの親スキーマの名前。- name: テーブルの名前。 |
unityCatalog |
deltaSharingProxyQueryTable |
データ受信者が共有テーブルにクエリを実行する。 | - share: 共有の名前。- schema: テーブルの親スキーマの名前。- name: テーブルの名前。- limitHints: 返す最大行数。- predicateHints: クエリに含まれる述語。- version: 変更データ フィードが有効になっている場合は、テーブルのバージョン。 |
unityCatalog |
deltaSharingProxyQueryTableChanges |
データ受信者がテーブルの変更データについて、テーブルにクエリを実行する。 | - share: 共有の名前。- schema: テーブルの親スキーマの名前。- name: テーブルの名前。- cdf_options: データ フィード のオプションの変更。 |
unityCatalog |
createProvider |
データ受信者がプロバイダー オブジェクトを作成する。 | - name: プロバイダーの名前。- comment: プロバイダーのコメント。 |
unityCatalog |
updateProvider |
データ受信者がプロバイダー オブジェクトを更新する。 | - name: プロバイダーの名前。- updates: 共有に対して追加または削除されたプロバイダー属性の JSON 表現。 各項目に action (追加または削除) が含まれ、name (新しいプロバイダー名)、owner (新しい所有者)、および comment を含めることができる。 |
unityCatalog |
deleteProvider |
データ受信者がプロバイダー オブジェクトを削除する。 | - name: プロバイダーの名前。 |
unityCatalog |
getProvider |
データ受信者がプロバイダー オブジェクトに関する詳細を要求する。 | - name: プロバイダーの名前。 |
unityCatalog |
listProviders |
データ受信者がプロバイダー リストを要求する。 | なし |
unityCatalog |
activateProvider |
データ受信者がプロバイダー オブジェクトをアクティブにする。 | - name: プロバイダーの名前。 |
unityCatalog |
listProviderShares |
データ受信者がプロバイダーの共有リストを要求する。 | - name: プロバイダーの名前。 |
unityCatalog |
generateTemporaryVolumeCredential |
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成される。 | - share_name: 受信者が要求するときに経由する共有の名前。- volume_full_name: ボリュームの完全な 3 レベルの名前。- volume_id: ボリュームの ID。- operation: READ_VOLUME または WRITE_VOLUME のいずれか。 ボリューム共有の場合は、READ_VOLUME だけがサポートされます。- workspace_id: ユーザー要求を受け取るワークスペースの ID。 |
unityCatalog |
generateTemporaryTableCredential |
受信者が共有テーブルにアクセスするための一時的な資格情報が生成される。 | - share_name: 受信者が要求するときに経由する共有の名前。- table_full_name: ボリュームの完全な 3 レベルの名前。- table_id: テーブルの ID。- operation: READ または READ_WRITE のいずれか。- workspace_id: ユーザー要求を受け取るワークスペースの ID。 |
追加のセキュリティ監視イベント
クラスター用やプロまたはクラシック SQL ウェアハウス用の VM など、クラシック コンピューティング プレーン内の Azure Databricks コンピューティング リソースの場合は、次の機能を使うと追加の監視エージェントが有効になります。
- 拡張セキュリティ監視
- コンプライアンス セキュリティ プロファイル。 PCI-DSS のコンプライアンス コントロールには、コンプライアンス セキュリティ プロファイルが必要です。
ファイルの整合性の監視イベント
次の capsule8-alerts-dataplane イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
モニターがオンになっていることを確認するための定期的なイベント。 現在は 10 分ごとに実行されます。 | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。 | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
重要なシステム ファイルの整合性を監視します。 それらのファイルで承認されていない変更が行われたら、アラートを生成します。 Databricks ではイメージに対して特定のシステム パスのセットが定義されており、このパスのセットは時間が経つと変化する可能性があります。 | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctl 以外のプログラムによって systemd ユニット ファイルが変更されたら、常にアラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
繰り返し発生するプログラムのクラッシュは、攻撃者がメモリ破損の脆弱性を悪用しようとしていること、または影響を受けるアプリケーションに安定性の問題があることを、示している可能性があります。 セグメント化エラーによってクラッシュした個々のプログラムのインスタンスが 5 個を超えたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
コンテナーは通常静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示す可能性があります。 30 分以内に作成または変更されたファイルがコンテナー内で実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。 | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
最新の運用インフラストラクチャでは、対話型シェルが発生することはほとんどありません。 リバース シェルでよく使われる引数を使って対話型シェルが開始されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
コマンド ログの回避は、攻撃者がよく行うことですが、正当なユーザーが承認されていないアクションを実行していること、またはポリシーを回避しようとしていることを示している可能性もあります。 ユーザー コマンド履歴ログに対する変更が検出されたら、アラートを生成します。これは、ユーザーがコマンド ログを回避しようとしていることを示します。 | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
一部の種類のカーネル バックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を取得して検出を回避するために BPF ベースのルートキットを読み込んでいることを示す可能性があります。 進行中のインシデントに既に含まれるプロセスの場合、そのプロセスで新しい特権 BPF プログラムが読み込まれたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
攻撃者は通常、悪意のあるカーネル モジュール (ルートキット) を読み込んで検出を回避し、侵害されたノードでの永続性を維持します。 既にプログラムが進行中のインシデントの一部になっている場合、カーネル モジュールが読み込まれたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
攻撃者は、正当なシステム プログラムまたはサービスを偽装するため、悪意のあるバイナリを作成または名前変更して、名前の末尾にスペースを含める可能性があります。 プログラム名の後にスペースが含まれるプログラムが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
カーネル特権エスカレーションが悪用されると、通常、特権を持たないユーザーが、特権の変更に対する標準ゲートを通過することなく、ルート特権を取得できるようになります。 プログラムが通常とは異なる方法で特権を昇格させようとしたら、アラートを生成します。 これにより、ワークロードが多いノードで擬陽性の警告が発生する可能性があります。 | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
内部カーネル関数は、通常のプログラムからはアクセスできず、それが呼び出された場合、カーネルの悪用が実行され、攻撃者がノードを完全に制御していることの強力な指標になります。 カーネル関数が予期せずユーザー空間に戻ったら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP と SMAP はカーネルの悪用を成功しにくくさせるプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル悪用での一般的な初期ステップです。 プログラムによってカーネルの SMEP/SMAP 構成が改ざんされたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
コンテナー エスケープの悪用で一般的に使われるカーネル関数をプログラムが使用したら、アラートを生成します。これは、攻撃者がコンテナー アクセスからノード アクセスに特権をエスカレートしていることを示します。 | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
特権コンテナーはホスト リソースに直接アクセスでき、侵害された場合の影響が大きくなります。 特権コンテナーが起動されたとき、コンテナーが kube-proxy などの既知の特権イメージでない場合に、アラートを生成します。 これにより、正当な特権コンテナーに対する不要な警告が発生する可能性があります。 | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
多くのコンテナー エスケープでは、ホストによるコンテナー内のバイナリの実行が強制され、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナーによって作成されたファイルがコンテナーの外部から実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、AppArmor がカーネルの悪用またはルートキットによって無効にされたことを示します。 AppArmor の状態が、センサーの開始時に検出された AppArmor の構成から変更されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
攻撃者は、検出の回避の一環として、AppArmor プロファイルの適用の無効化を試みることがあります。 AppArmor プロファイルを変更するコマンドが実行され、それが SSH セッションでユーザーによって実行されたものではななかった場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
ブート ファイルの変更が、信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されたものではない場合、攻撃者がホストへの永続的なアクセスを得るためにカーネルまたはそのオプションを変更していることを示す可能性があります。 新しいカーネルまたはブート構成のインストールを示す、/boot 内のファイルの変更が行われたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
ログ管理ツールによって実行されたものではないログの削除は、攻撃者が侵害の証拠を削除しようとしていることを示す可能性があります。 システム ログ ファイルが削除されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルの悪用、または悪用チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
ルート証明書ストアの変更は、ネットワーク トラフィックのインターセプトやコード署名検証のバイパスを可能にする、不正な証明機関のインストールを示している可能性があります。 システム CA 証明書ストアが変更されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
setuid/setgid ビットの設定を使って、ノードでの特権エスカレーションのための永続的な方法を提供できます。 システム呼び出しの chmod ファミリを使ってファイルで setuid または setgid ビットが設定されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
攻撃者は、侵害されたホスト上のツールやペイロードが見つからないようにする手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられているプロセスによって隠しファイルが作成されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するため、これらのユーティリティを変更する可能性があります。 承認されていないプロセスによって一般的なシステム ユーティリティが変更されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
攻撃者または悪意のあるユーザーは、さらに多くのノードを侵害するため、これらのプログラムを使用またはインストールして、接続されたネットワークを調べる可能性があります。 一般的なネットワーク スキャン プログラム ツールが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
攻撃者は、侵害後に、ホストに簡単にアクセスできるよう、新しいネットワーク サービスを開始する可能性があります。 進行中のインシデントの一部に既になっているプログラムによって新しいネットワーク サービスが開始されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
攻撃者または悪意のあるユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
ファイル転送ツールの使用は、攻撃者がツールセットを別のホストに移動したり、リモート システムにデータを流出させたりしようとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
コマンド アンド コントロール チャネルや暗号通貨マイナーは、通常とは異なるポートに新しいアウトバウンド ネットワーク接続を作成することがよくあります。 進行中のインシデントの一部に既になっているプログラムが、一般的でないポートで新しい接続を開始したら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出のためにデータのサイズを小さくする可能性があります。 既に進行中のインシデントの一部であるデータ圧縮プログラムが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
プロセス インジェクション手法の使用は、一般にはユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示す可能性もあります。 プログラムが ptrace (デバッグ) メカニズムを使って別のプロセスと対話したら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
攻撃者は、多くの場合、アカウント列挙プログラムを使ってアクセス レベルを判断し、他のユーザーがノードに現在ログインしているかどうかを確認します。 アカウントの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
ファイル システムの探索は、攻撃者が関心のある資格情報とデータを探すために悪用後に行う、一般的な動作です。 ファイルとディレクトリの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
攻撃者は、横断移動の前に、ローカル ネットワークとルートの情報を問い合わせて、隣接するホストとネットワークを識別する可能性があります。 ネットワーク構成の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
多くの場合、攻撃者は、ノードの目的と、セキュリティまたは監視ツールが設けられているかどうかを確認するため、実行中のプログラムの一覧を取得します。 プロセスの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
通常、攻撃者は、多くの場合はノードが特定の脆弱性の影響を受けるかどうかを確認するために、システム列挙コマンドを実行して、Linux カーネルとディストリビューションのバージョンと機能を特定します。 システム情報の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 crontab、at、または batch コマンドを使って、スケジュールされたタスクの構成が変更されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctl コマンドを使って systemd ユニットが変更されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
ルート ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける機能が低下します。 su コマンドが実行されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
sudo コマンドが実行されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加することがあります。 新しいユーザー エンティティがローカル アカウント管理ファイル /etc/passwd に追加され、そのエンティティがシステム更新プログラムによって追加されていない場合、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新と関係のないプログラムによって変更されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
新しい SSH 公開キーの追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 既にプログラムが進行中のインシデントの一部になっている場合、ユーザーの SSH authorized_keys ファイルへの書き込みの試みが観察されたら、アラートを生成します。 |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
新しいユーザーの追加は、攻撃者が侵害されたノードで永続性を確立するときの、一般的なステップです。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。 | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
ユーザー プロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として、変更されることがよくあります。 .bash_profile と bashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更されたら、アラートを生成します。 |
- instanceId |
ウイルス対策監視イベント
Note
これらの監査ログの response JSON オブジェクトには必ず result フィールドがあり、元のスキャン結果の 1 行が含まれます。 各スキャン結果は、通常、元のスキャン出力の行ごとに 1 つずつある、複数の監査ログ レコードによって表されます。 このファイルに記録される内容について詳しくは、こちらのサードパーティのドキュメントをご覧ください。
次の clamAVScanService-dataplane イベントがワークスペース レベルでログされます。
| サービス | Action | 説明 | 要求パラメーター |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
ウイルス対策監視によってスキャンが実行されます。 元のスキャン出力の各行に対してログが生成されます。 | - instanceId |
非推奨のログ イベント
Databricks では、次の databrickssql 診断イベントが非推奨になりました。
createAlertDestination(現在はcreateNotificationDestination)deleteAlertDestination(現在はdeleteNotificationDestination)updateAlertDestination(現在はupdateNotificationDestination)muteAlertunmuteAlert
SQL エンドポイント ログ
非推奨の SQL エンドポイント API (SQL ウェアハウスの以前の名前) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名に、Warehouse の代わりに Endpoint という単語が含まれます。 名前以外は、これらのイベントは SQL ウェアハウスのイベントと同一です。 これらのイベントの説明と要求パラメーターを表示するには、「Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。
SQL エンドポイント イベントは次のとおりです。
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig