Referência do log de diagnóstico

Observação

Esse recurso requer o plano Premium.

Este artigo fornece uma referência completa sobre serviços e eventos de log de auditoria. A disponibilidade desses serviços depende de como você acessa os logs:

• A tabela do sistema de logs de auditoria registra todos os eventos e serviços listados neste artigo.
• O serviço de configurações de diagnóstico do Azure Monitor não registra todos esses serviços. Os serviços que não estão disponíveis nas configurações de diagnóstico do Azure são rotulados adequadamente.

Observação

O Azure Databricks retém uma cópia dos logs de auditoria por até um ano para fins de análise de segurança e fraude.

Serviços de log de diagnóstico

Os seguintes serviços e seus eventos são registrados por padrão nos logs de diagnóstico.

Observação

As designações no nível do espaço de trabalho e no nível da conta se aplicam apenas à tabela do sistema de logs de auditoria. Os logs de diagnóstico do Azure não incluem eventos no nível da conta.

Serviços no nível do espaço de trabalho

Nome do serviço	Descrição
contas	Eventos relacionados a contas, usuários, grupos e listas de acesso IP.
aibiGenie	Eventos relacionados aos espaços Genie de AI/BI.
alertas	Eventos relacionados a alertas.
aplicativos	Eventos relacionados aos Aplicativos do Databricks.
Clusters	Eventos relacionados a agrupamentos.
clusterPolicies	Eventos relacionados a políticas de cluster.
painéis	Eventos relacionados ao uso do painel de IA/BI.
base de dados	Eventos relacionados ao Lakebase.
databrickssql	Eventos relacionados ao uso do SQL do Databricks.
dataMonitoring	Eventos relacionados ao Monitoramento do Lakehouse.
dbfs	Eventos relacionados ao DBFS.
deltaPipelines	Eventos relacionados ao Lakeflow Declarative Pipelines.
repositório de recursos	Eventos relacionados ao Repositório de Recursos do Databricks.
sistema de arquivos	Eventos relacionados ao gerenciamento de arquivos, que inclui a interação com arquivos usando a API Files ou na interface do usuário de volumes.
genie	Eventos relacionados ao acesso ao workspace pela equipe de suporte. Espaços do Genie de IA/BI não relacionados.
gitCredentials	Eventos relacionados às credenciais do Git para as pastas Git do Databricks. Consulte também repos.
globalInitScripts	Eventos relacionados a scripts de inicialização globais.
Grupos	Eventos relacionados a grupos de conta e workspace.
iamRole	Eventos relacionados às permissões de função do IAM.
ingestão	Eventos relacionados ao upload de arquivos.
instancePools	Eventos relacionados aos pools.
empregos	Eventos relacionados a trabalhos.
lineageTracking	Eventos relacionados à linhagem de dados.
marketplaceConsumer	Eventos relacionados a ações do consumidor no Databricks Marketplace.
marketplaceProvider	Eventos relacionados a ações do provedor no Databricks Marketplace.
mlflowAcledArtifact	Eventos relacionados a artefatos do ML Flow com ACLs.
mlflowExperiment	Eventos relacionados a experimentos de ML Flow.
modelRegistry	Eventos relacionados ao registro de modelo.
notebook	Eventos relacionados com computadores portáteis.
partnerConnect	Eventos relacionados ao Partner Connect.
predictiveOptimization	Eventos relacionados à otimização preditiva.
RemoteHistoryService	Eventos relacionados à adição e remoção de credenciais do GitHub.
repositórios	Eventos relacionados às pastas Git do Databricks. Consulte também gitCredentials.
segredos	Eventos relacionados a segredos.
serverlessRealTimeInference	Eventos relacionados ao Serviço de Modelo.
sqlPermissions	Eventos relacionados ao controle de acesso à tabela de metastore do Hive herdado.
ssh	Eventos relacionados ao acesso SSH.
uniformIcebergRestCatalog	Eventos relacionados ao uso da API do Catálogo REST do Iceberg.
vectorSearch	Eventos relacionados à busca em vetores.
webhookNotifications	Eventos relacionados a destinos de notificação.
WebTerminal	Eventos relacionados ao recurso de terminal da Web.
área de trabalho	Eventos relacionados a workspaces.

Serviços no nível da conta

Os logs de auditoria no nível da conta são disponibilizados para estes serviços:

Nome do serviço	Descrição
Controle de Acesso às Contas	Ações relacionadas à API de Controle de Acesso da Conta.
accountBillableUsage	Ações relacionadas ao acesso de uso faturável no console da conta.
accountsManager	Ações relacionadas às configurações de conectividade de rede.
budgetPolicyCentral	Ações relacionadas ao gerenciamento de políticas de orçamento sem servidor.
sala limpa	Ações relacionadas às Salas Limpas.
unityCatalog	Ações executadas no Catálogo do Unity. Isso também inclui eventos do Compartilhamento Delta. Consulte Eventos de Compartilhamento Delta.

Serviços adicionais de monitoramento de segurança

Há serviços adicionais e ações associadas para workspaces que usam o perfil de segurança de conformidade (necessário para alguns padrões de conformidade, como HIPAA) ou o monitoramento avançado de segurança .

São serviços no nível do workspace que só serão gerados nos logs se você estiver usando o perfil de segurança de conformidade ou o monitoramento de segurança aprimorado:

Nome do serviço	Descrição
capsule8-alerts-dataplane	Ações relacionadas ao monitoramento de integridade do arquivo.
clamAVScanService-dataplane	Ações relacionadas ao monitoramento de antivírus.

Exemplo de esquema do log de diagnóstico

No Azure Databricks, o diagnóstico registra os eventos de saída em um formato JSON. No Azure Databricks, os logs de auditoria geram eventos em um formato JSON. As propriedades serviceName e actionName identificam o evento. A convenção de nomenclatura segue a API REST do Databricks.

O exemplo de JSON a seguir é um exemplo de um evento registrado quando um usuário criou um trabalho:

{
  "TenantId": "<your-tenant-id>",
  "SourceSystem": "|Databricks|",
  "TimeGenerated": "2019-05-01T00:18:58Z",
  "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
  "OperationName": "Microsoft.Databricks/jobs/create",
  "OperationVersion": "1.0.0",
  "Category": "jobs",
  "Identity": {
    "email": "mail@contoso.com",
    "subjectName": null
  },
  "SourceIPAddress": "131.0.0.0",
  "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
  "ServiceName": "jobs",
  "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
  "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
  "ActionName": "create",
  "RequestId": "ServiceMain-206b2474f0620002",
  "Response": {
    "statusCode": 200,
    "result": "{\"job_id\":1}"
  },
  "RequestParams": {
    "name": "Untitled",
    "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
  },
  "Type": "DatabricksJobs"
}

Considerações sobre o esquema de log de diagnóstico

• Se as ações demorarem, a solicitação e a resposta serão registradas separadamente, mas o par de solicitação e resposta terá o mesmo requestId.
• Ações automatizadas, como redimensionar um cluster devido ao dimensionamento automático ou iniciar um trabalho devido ao agendamento, são executadas pelo usuário System-User.
• O campo requestParams está sujeito a truncamento. Se o tamanho da representação JSON ultrapassar 100 KB, os valores serão truncados e a cadeia de caracteres ... truncated será anexada a entradas truncadas. Em casos raros nos quais um mapa truncado ainda é maior do que 100 KB, uma única chave TRUNCATED com um valor vazio estará presente.

Eventos da Conta

Abaixo estão os eventos accounts registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
accounts	accountLoginCodeAuthentication	O código de logon da conta de um usuário é autenticado.	user
accounts	activateUser	Um usuário é reativado após ser desativado. Confira Desativar usuários no workspace.	targetUserName endpoint targetUserId
accounts	aadBrowserLogin	Um usuário se conecta ao Databricks através do processo de autenticação via navegador do Microsoft Entra ID.	user
accounts	aadTokenLogin	Um usuário faz logon no Databricks por meio do token do Microsoft Entra ID.	user
accounts	add	Um usuário é adicionado a um workspace do Azure Databricks.	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	Um usuário é adicionado a um grupo no nível do workspace.	targetGroupId endpoint targetUserId targetGroupName groupMembershipType targetUserName
accounts	changeDatabricksSqlAcl	As permissões de SQL do Databricks de um usuário são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	As permissões para um workspace são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenAcl	As permissões em um token de acesso são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenState	Um token de acesso do Databricks está desabilitado.	tokenHash tokenState userId
accounts	changeServicePrincipalAcls	Quando as permissões de um principal de serviço são alteradas.	shardName targetServicePrincipal resourceId aclPermissionSet
accounts	createGroup	Um grupo no nível do espaço de trabalho é criado.	endpoint targetUserId targetUserName
accounts	createIpAccessList	Uma lista de acesso por IP foi adicionada ao workspace.	ipAccessListId userId
accounts	deactivateUser	Um usuário é desativado no workspace. Confira Desativar usuários no workspace.	targetUserName endpoint targetUserId
accounts	delete	Um usuário é excluído do workspace do Azure Databricks.	targetUserId targetUserName endpoint
accounts	deleteIpAccessList	Uma lista de acesso por IP foi excluída do workspace.	ipAccessListId userId
accounts	garbageCollectDbToken	Um usuário executa um comando de coleta de lixo em tokens expirados.	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	Quando alguém gera um token com as Configurações do Usuário ou quando o serviço gera o token.	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	IpAccessDenied	Um usuário tenta se conectar ao serviço através de um IP negado.	path user userId
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	O usuário faz logon no Databricks usando um JWT.	user authenticationMethod
accounts	login	O usuário acessa o espaço de trabalho.	user authenticationMethod
accounts	logout	O usuário sai do espaço de trabalho.	user
accounts	oidcTokenAuthorization	Quando uma chamada à API é autorizada através de um token OIDC/OAuth genérico.	user authenticationMethod
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	Quando o número atual de tokens não expirados excede a cota de token.
accounts	removeAdmin	Um usuário tem as permissões de administrador do workspace revogadas.	targetUserName endpoint targetUserId
accounts	removeGroup	Um grupo é removido do workspace.	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	Um usuário foi removido de um grupo.	targetGroupId endpoint targetUserId targetGroupName groupMembershipType targetUserName
accounts	revokeDbToken	O token de um usuário é descartado de um espaço de trabalho. Isto pode ser acionado quando um usuário é removido da conta do Databricks.	userId tokenHash
accounts	setAdmin	Um usuário recebe permissões de administrador de conta.	endpoint targetUserName targetUserId
accounts	tokenLogin	Um usuário faz logon no Databricks usando um token.	tokenId user authenticationMethod
accounts	updateIpAccessList	Uma lista de acesso por IP foi alterada.	ipAccessListId userId
accounts	updateUser	Uma alteração é feita na conta de um usuário.	endpoint targetUserName targetUserId targetUserExternalId
accounts	validateEmail	Quando um usuário valida seu email após a criação da conta.	endpoint targetUserName targetUserId
accounts	workspaceLoginCodeAuthentication	O código de logon com escopo de workspace de um usuário foi autenticado.	user authenticationMethod

Eventos do painel de controle de IA/BI

Abaixo estão os eventos dashboards registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
dashboards	getDashboard	Um usuário acessa a versão de rascunho de um painel exibindo-a na interface do usuário ou solicitando a definição do painel usando a API. Somente os usuários do workspace podem acessar a versão de rascunho de um painel.	dashboard_id
dashboards	getPublishedDashboard	Um usuário acessa a versão publicada de um painel exibindo na interface do usuário ou solicitando a definição do painel usando a API. Inclui atividades de usuários do workspace e usuários de contas. Exclui o recebimento de um instantâneo em PDF de um painel por email agendado.	dashboard_id credentials_embedded
dashboards	executeQuery	Um usuário executa uma consulta em um painel.	dashboard_id statement_id
dashboards	cancelQuery	Um usuário cancela uma consulta em um painel.	dashboard_id statement_id
dashboards	getQueryResult	Um usuário recebe os resultados de uma consulta de um painel.	dashboard_id statement_id
dashboards	triggerDashboardSnapshot	Um usuário baixa um instantâneo de um painel de controle em PDF.	dashboard_id
dashboards	sendDashboardSnapshot	Um instantâneo em PDF de um painel é enviado por um email agendado. Os valores dos parâmetros da solicitação dependem do tipo de destinatário. Para um destino de notificação do Databricks, somente o destination_id é mostrado. Para um usuário do Databricks, a ID de usuário e o endereço de email do assinante são mostrados. Se o destinatário for um endereço de email, somente o endereço de email será mostrado.	dashboard_id subscriber_destination_id subscriber_user_details: { user_id, email_address }
dashboards	getDashboardDetails	Um usuário acessa detalhes de um painel de rascunho, como conjuntos de dados e widgets. getDashboardDetails é sempre emitido quando um usuário visualiza um painel de rascunho pela interface do usuário ou solicita a definição do painel pela API.	dashboard_id
dashboards	createDashboard	Um usuário cria um painel de IA/BI usando a interface do usuário ou a API.	dashboard_id
dashboards	updateDashboard	Um usuário faz uma atualização em um painel de IA/BI usando a interface do usuário ou a API.	dashboard_id
dashboards	cloneDashboard	Um usuário clona um painel de IA/BI.	source_dashboard_id new_dashboard_id
dashboards	publishDashboard	Um usuário publica um painel de IA/BI com ou sem as credenciais inseridas usando a interface do usuário ou a API.	dashboard_id credentials_embedded warehouse_id
dashboards	unpublishDashboard	Um usuário cancela a publicação de um painel publicado de IA/BI usando a interface do usuário ou a API.	dashboard_id
dashboards	trashDashboard	Um usuário move um painel para a lixeira usando a interface do usuário do painel ou os comandos da API do Lakeview. Esse evento é registrado somente quando executado por meio desses canais, não para ações de workspace. Para auditar ações do workspace, consulte eventos do Workspace	dashboard_id
dashboards	restoreDashboard	Um usuário restaura um painel de Inteligência Artificial/Inteligência de Negócios da lixeira usando a interface de usuário do painel ou os comandos da API Lakeview. Esse evento é registrado somente quando executado por meio desses canais, não para ações de workspace. Para auditar ações do workspace, consulte eventos do Workspace	dashboard_id
dashboards	migrateDashboard	Um usuário migra um painel do DBSQL para um painel de IA/BI.	source_dashboard_id new_dashboard_id
dashboards	createSchedule	Um usuário cria um agendamento de assinatura de email.	dashboard_id schedule_id
dashboards	updateSchedule	Um usuário realiza uma atualização no agendamento de um painel de IA/BI.	dashboard_id schedule_id
dashboards	deleteSchedule	Um usuário exclui a agenda de um painel de IA/BI.	dashboard_id schedule_id
dashboards	createSubscription	Um usuário assina um destino de email para um agendamento de um painel de IA/BI.	dashboard_id schedule_id schedule
dashboards	deleteSubscription	Um usuário exclui um destino de email de um agendamento de um painel de IA/BI.	dashboard_id schedule_id

Eventos do AI/BI Genie

Abaixo estão os eventos aibiGenie registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
aibiGenie	createSpace	Um usuário cria um novo espaço do Genie. O space_id do novo espaço é anotado na coluna response.
aibiGenie	getSpace	Um usuário acessa o espaço do Genie.	space_id
aibiGenie	listSpaces	Um usuário lista todos os espaços disponíveis do Genie.
aibiGenie	updateSpace	Um usuário atualiza as configurações de um espaço do Genie. As configurações possíveis incluem o título, a descrição, o warehouse, as tabelas e as perguntas de exemplo.	space_id display_name description warehouse_id table_identifiers
aibiGenie	trashSpace	Um espaço do Genie é movido para a lixeira.	space_id
aibiGenie	cloneSpace	Um usuário clona um espaço do Genie.	space_id
aibiGenie	genieGetSpace	Um usuário acessa detalhes sobre um espaço do Genie usando a API.	space_id
aibiGenie	createConversation	Um usuário cria um novo thread de conversa no espaço do Genie.	space_id
aibiGenie	listConversations	Um usuário abre a lista de conversas no espaço do Genie.	space_id
aibiGenie	genieStartConversationMessage	Um usuário inicia um thread de conversa com uma mensagem usando a API.	space_id conversation_id
aibiGenie	getConversation	Um usuário abre um thread de conversa no espaço do Genie.	conversation_id space_id
aibiGenie	updateConversation	Um usuário atualiza o título de um thread de conversa.	conversation_id space_id
aibiGenie	deleteConversation	Um usuário exclui um thread de conversa no espaço do Genie.	conversation_id space_id
aibiGenie	createConversationMessage	Um usuário envia uma nova mensagem para o espaço do Genie.	conversation_id space_id
aibiGenie	genieCreateConversationMessage	Um usuário cria uma nova mensagem em uma conversa usando a API.	conversation_id space_id message_id
aibiGenie	getConversationMessage	Um usuário acessa uma mensagem no espaço do Genie.	conversation_id space_id message_id
aibiGenie	genieGetConversationMessage	Um usuário recupera uma mensagem específica em uma conversa usando a API.	conversation_id space_id message_id
aibiGenie	deleteConversationMessage	Um usuário exclui uma mensagem existente.	conversation_id space_id message_id
aibiGenie	genieGetMessageQueryResult	O Genie recupera os resultados da consulta associados a uma mensagem de conversa usando a API.	conversation_id space_id, message_id
aibiGenie	genieGetMessageAttachmentQueryResult	Um usuário recupera os resultados da consulta para anexos de mensagens usando a API.	conversation_id space_id attachment_id
aibiGenie	executeFullQueryResult	Um usuário recupera os resultados completos da consulta usando a API (até ~1 GB de tamanho).	space_id conversation_id message_id
aibiGenie	genieExecuteMessageQuery	O Genie executa o SQL gerado para retornar os resultados da consulta, incluindo ações de atualização de dados usando a API.	conversation_id space_id message_id
aibiGenie	genieExecuteMessageAttachmentQuery	O Genie executa uma consulta para resultados de anexo de mensagem usando a API.	conversation_id space_id message_id attachment_id
aibiGenie	getMessageQueryResult	O Genie recupera os resultados da consulta associados a uma mensagem de conversa.	conversation_id space_id, message_id
aibiGenie	createInstruction	Um usuário cria uma instrução para um espaço do Genie.	space_id instruction_type
aibiGenie	listInstructions	Um usuário navega até a guia Instruções ou a guia Dados.	space_id
aibiGenie	updateInstruction	Um usuário atualiza uma instrução para um espaço do Genie.	space_id instruction_id
aibiGenie	deleteInstruction	Um usuário exclui uma instrução de um espaço do Genie.	space_id instruction_id
aibiGenie	updateSampleQuestions	Um usuário atualiza as perguntas de exemplo padrão para o espaço.	space_id
aibiGenie	createCuratedQuestion	Um usuário cria uma pergunta de exemplo ou pergunta de parâmetro de comparação.	space_id
aibiGenie	deleteCuratedQuestion	Um usuário exclui uma pergunta de exemplo ou pergunta de parâmetro de comparação.	space_id curated_question_id
aibiGenie	listCuratedQuestions	Um usuário acessa a lista de perguntas de exemplo ou perguntas de parâmetro de comparação em um espaço. Isso é registrado sempre que os usuários abrem um novo chat, exibem parâmetros de comparação ou adicionam perguntas de exemplo.	space_id
aibiGenie	updateCuratedQuestion	Um usuário atualiza uma pergunta de exemplo ou uma pergunta de parâmetro de comparação.	space_id curated_question_id
aibiGenie	createEvaluationResult	Genie cria um resultado de avaliação para uma pergunta específica em um procedimento de avaliação.	space_id eval_id
aibiGenie	getEvaluationResult	Um usuário acessa os resultados de uma pergunta específica em uma execução de avaliação.	space_id eval_id
aibiGenie	getEvaluationResultDetails	Um usuário acessa os resultados da consulta para uma pergunta específica em uma execução de avaliação.	space_id eval_id
aibiGenie	updateEvaluationResult	Um usuário atualiza o resultado da avaliação para uma pergunta específica.	space_id eval_id
aibiGenie	createEvaluationRun	Um usuário cria uma nova execução de avaliação.	space_id
aibiGenie	listEvaluationResults	Um usuário acessa a lista de resultados de uma execução de avaliação.	space_id run_id
aibiGenie	listEvaluationRuns	Um usuário acessa a lista de todas as execuções de avaliação.	space_id
aibiGenie	createConversationMessageComment	Um usuário adiciona um comentário de feedback a uma mensagem em uma conversa.	conversation_id space_id message_id
aibiGenie	listConversationMessageComments	Um usuário acessa uma lista dos comentários de feedback de um espaço.	space_id conversation_ids message_ids user_ids comment_types
aibiGenie	deleteConversationMessageComment	Um usuário exclui um comentário de feedback adicionado a uma mensagem de conversa.	conversation_id space_id message_id message_comment_id

Eventos de alerta

Importante

Esse recurso está em Beta.

Os eventos alerts a seguir são registrados em log no nível de espaço de trabalho.

Observação

Esse serviço não registra eventos de alerta herdados. Eventos de alerta herdados são registrados sob o serviço databrickssql.

Serviço	Ação	Descrição	Parâmetros da solicitação
alerts	apiCreateAlert	Um usuário cria um alerta usando a API de Alertas V2.	alert.id
alerts	apiGetAlert	Um usuário recebe um alerta usando a API de Alertas V2.	alert_id
alerts	apiTrashAlert	Um usuário exclui um alerta usando a API de Alertas V2.	alert_id
alerts	apiUpdateAlert	Um usuário atualiza um alerta usando a API de Alertas V2.	alert.id
alerts	cloneAlert	Um usuário clona um alerta existente.	alert_id
alerts	createAlert	Um usuário cria um novo alerta.	alert_id
alerts	getAlert	Um usuário obtém informações sobre um alerta usando a interface do usuário.	alert_id
alerts	previewAlertEvaluate	O recurso de condição de teste retorna os resultados do teste de alerta.	execution_session_id
alerts	previewAlertExecute	Um usuário usa o recurso de condição de teste para visualizar e testar seu alerta.	warehouse_id
alerts	runNowAlert	Um usuário clica no botão Executar agora para executar a consulta de alerta imediatamente.	alert_id
alerts	updateAlert	Um usuário atualiza os detalhes de um alerta.	alert.id

Eventos de clusters

Abaixo estão os eventos cluster registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
clusters	changeClusterAcl	Um usuário altera a ACL do cluster.	shardName aclPermissionSet targetUserId resourceId
clusters	create	Um usuário cria um cluster.	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	createResult	Resultados da criação do cluster. Em conjunto com create.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	delete	Um cluster foi encerrado.	cluster_id
clusters	deleteResult	Resultados do encerramento do cluster. Em conjunto com delete.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	edit	Um usuário faz alterações nas configurações do cluster. Isso registra todas as alterações em log, exceto as alterações de tamanho do cluster ou de comportamento do dimensionamento automático.	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	permanentDelete	Um cluster foi excluído da interface do usuário.	cluster_id
clusters	resize	Redimensionamento do cluster. Isso é registrado em clusters em execução em que a única propriedade que muda é o tamanho do cluster ou o comportamento do dimensionamento automático.	cluster_id num_workers autoscale
clusters	resizeResult	Resultados do redimensionamento do cluster. Em conjunto com resize.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	restart	Um usuário reinicia um cluster em execução.	cluster_id
clusters	restartResult	Resultados da reinicialização do cluster. Em conjunto com restart.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	start	Um usuário inicia um cluster.	init_scripts_safe_mode cluster_id
clusters	startResult	Resultados do inicialização do cluster. Em conjunto com start.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId

Eventos de bibliotecas de clusters

Abaixo estão os eventos clusterLibraries registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
clusterLibraries	installLibraries	O usuário instala uma biblioteca em um cluster.	cluster_id libraries are_installed_via_policy replace
clusterLibraries	uninstallLibraries	Usuário desinstala uma biblioteca em um cluster.	cluster_id libraries
clusterLibraries	installLibraryOnAllClusters	Um administrador de workspace agenda a instalação de uma biblioteca em todo o cluster.	user library
clusterLibraries	uninstallLibraryOnAllClusters	Um administrador de workspace remove uma biblioteca da lista para instalar em todos os clusters.	user library

Eventos de política de cluster

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Abaixo estão os eventos clusterPolicies registrados em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
clusterPolicies	create	Um usuário criou uma política de cluster.	name policy_family_id policy_family_version
clusterPolicies	edit	Um usuário editou uma política de cluster.	policy_id name libraries max_clusters_per_user policy_family_id policy_family_version
clusterPolicies	delete	Um usuário excluiu uma política de cluster.	policy_id
clusterPolicies	changeClusterPolicyAcl	Um administrador do workspace altera permissões em uma política de cluster.	shardName targetUserId resourceId aclPermissionSet

Eventos de banco de dados

Abaixo estão os eventos database registrados em log no nível do workspace.

Esses eventos estão relacionados ao Lakebase. Veja o que é Lakebase?

Serviço	Ação	Descrição	Parâmetros da solicitação
database	createDatabaseInstance	Um usuário cria uma nova instância de banco de dados.	name capacity
database	getDatabaseInstance	Uma consulta de usuário para uma instância de banco de dados.	name
database	listDatabaseInstance	Uma consulta de usuário para todas as instâncias de banco de dados.	nenhum
database	updateDatabaseInstance	Um usuário atualiza as propriedades em uma instância existente. Por exemplo, a capacidade ou se ela está pausada.	capacity stopped
database	deleteDatabaseInstance	Um usuário exclui uma instância.	name force purge
database	changeDatabaseInstanceAcl	Um usuário modifica permissões em uma instância de banco de dados.	nenhum
database	createDatabaseCatalog	Um usuário cria e registra um catálogo no Catálogo do Unity para um banco de dados existente.	name database_name database_instance_name
database	deleteDatabaseCatalog	Um usuário cancela o registro de um catálogo registrado do Catálogo do Unity.	name
database	getDatabaseCatalog	Uma consulta de usuário para um catálogo de banco de dados.	name
database	createDatabaseTable	Um usuário cria uma tabela dentro de um banco de dados em uma instância de banco de dados.	name database_instance_name database_name
database	getDatabaseTable	Uma consulta de usuário para uma tabela de banco de dados.	name
database	deleteDatabaseTable	Um usuário exclui uma tabela de banco de dados do Catálogo do Unity.	name
database	createSyncedDatabaseTable	Um usuário cria uma tabela sincronizada dentro de um banco de dados em uma instância de banco de dados.	name spec scheduling_policy source_table_full_name primary_key_columns
database	getSyncedDatabaseTable	Um usuário consulta uma tabela sincronizada.	name
database	deleteSyncedDatabaseTable	Um usuário exclui uma tabela sincronizada do Catálogo do Unity.	name

Eventos do SQL Databricks

Abaixo estão os eventos databrickssql registrados em log no nível do workspace.

Observação

Se você gerenciar seus SQL warehouses usando a API de pontos de extremidade SQL herdado, os eventos de auditoria do SQL warehouse terão nomes de ações diferentes. Veja Logs de ponto de extremidade SQL.

Serviço	Ação	Descrição	Parâmetros da solicitação
databrickssql	cancelQueryExecution	A execução de uma consulta é cancelada na interface do usuário do editor SQL. Isso não inclui os cancelamentos que têm origem na interface do usuário do Histórico de Consultas ou na API de Execução de SQL do Databricks.	queryExecutionId: emitido somente quando o editor SQL herdado é usado. query_id: emitido somente quando o novo editor do SQL é usado.
databrickssql	changeEndpointAcls	Um gerente de warehouse atualiza as permissões em um SQL warehouse.	aclPermissionSet resourceId shardName targetUserId
databrickssql	cloneFolderNode	Um usuário clona uma pasta no navegador do workspace.	dashboardId
databrickssql	commandFinish	Somente em logs de auditoria detalhados. Gerado quando um comando em um SQL Warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento.	warehouseId commandId
databrickssql	commandSubmit	Somente em logs de auditoria detalhados. Gerado quando um comando é enviado a um SQL Warehouse, independentemente da origem da solicitação.	warehouseId commandId validation commandText commandParameters
databrickssql	createAlert	Um usuário cria um alerta herdado.	alertId queryId
databrickssql	createQuery	Um usuário cria uma consulta.	queryId
databrickssql	getQuery	Um usuário abre uma consulta na página do editor do SQL ou chama o Databricks SQL Get a query API. Emitido somente quando o editor SQL herdado ou a API REST do Databricks SQL é usado.	queryId
databrickssql	createQueryDraft	Um usuário cria um rascunho de consulta. Emitido somente quando o editor SQL herdado é usado.	queryId
databrickssql	createQuerySnippet	Um usuário cria um trecho de consulta.	querySnippetId
databrickssql	createVisualization	Um usuário gera uma visualização usando o editor SQL. Exclui tabelas de resultados padrão e visualizações em notebooks que utilizam SQL Warehouses. Emitido somente quando o editor SQL herdado é usado.	queryId visualizationId
databrickssql	createWarehouse	Um usuário com o direito de criação de cluster cria um SQL Warehouse.	auto_resume auto_stop_mins channel warehouse_type cluster_size conf_pairs custom_cluster_confs enable_databricks_compute enable_photon enable_serverless_compute instance_profile_arn max_num_clusters min_num_clusters name size spot_instance_policy tags test_overrides
databrickssql	deleteAlert	Um usuário exclui um alerta herdado por meio da API. Exclui exclusões da interface do usuário do navegador de arquivos ou da interface de alerta herdada.	alertId
databrickssql	deleteNotificationDestination	Um administrador de workspace exclui um destino de notificação.	notificationDestinationId
databrickssql	deleteDashboard	Um usuário exclui um dashboard pela interface do dashboard ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos.	dashboardId
databrickssql	deleteDashboardWidget	Um usuário exclui um widget de dashboard.	widgetId
databrickssql	deleteWarehouse	Um gerente de warehouse exclui um SQL Warehouse.	id
databrickssql	deleteQuery	Um usuário exclui uma consulta, seja na interface de consulta ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos.	queryId
databrickssql	deleteQueryDraft	Um usuário exclui um rascunho de consulta. Emitido somente quando o editor SQL herdado é usado.	queryId
databrickssql	deleteQuerySnippet	Um usuário exclui um trecho de consulta.	querySnippetId
databrickssql	deleteVisualization	Um usuário exclui uma visualização de uma consulta no SQL Editor. Emitido somente quando o editor SQL herdado é usado.	visualizationId
databrickssql	downloadQueryResult	Um usuário faz o download de um resultado de consulta do SQL Editor. Exclui downloads de painéis.	fileType queryId queryResultId: emitido somente quando o editor SQL herdado é usado. credentialsEmbedded credentialsEmbeddedId
databrickssql	editWarehouse	Um gerente de warehouse faz edições em um SQL Warehouse.	auto_stop_mins channel warehouse_type cluster_size confs enable_photon enable_serverless_compute id instance_profile_arn max_num_clusters min_num_clusters name spot_instance_policy tags
databrickssql	executeAdhocQuery	Gerado por uma das seguintes opções: Um usuário executa um rascunho de consulta no editor do SQL Uma consulta é executada por meio de uma agregação de visualização Um usuário carrega um dashboard e executa consultas subjacentes	dataSourceId: emitido somente quando o editor SQL herdado é usado. Equivalente ao ID do armazém SQL. warehouse_id: emitido somente quando o novo editor do SQL é usado. query_id: emitido somente quando o novo editor do SQL é usado. Corresponde ao texto da consulta atual no novo editor do SQL, que pode ser equivalente à consulta salva original.
databrickssql	executeSavedQuery	Um usuário executa uma consulta salva. Emitido somente quando o editor SQL herdado é usado.	queryId
databrickssql	executeWidgetQuery	Gerado por qualquer evento que execute uma consulta de modo que um painel de controle seja atualizado. Alguns exemplos de eventos aplicáveis incluem: Atualização de um painel individual Atualização de um painel inteiro Execuções agendadas do painel Alterações de parâmetro ou filtro operando sobre mais de 64.000 linhas	widgetId
databrickssql	favoriteDashboard	Um usuário adiciona um dashboard aos favoritos.	dashboardId
databrickssql	favoriteQuery	Um usuário adiciona uma consulta aos favoritos.	queryId
databrickssql	forkQuery	Um usuário clona uma consulta.	originalQueryId queryId
databrickssql	getAlert	Um usuário abre a página de detalhes de um alerta herdado ou chama a API de alerta get herdada.	id: ID do alerta
databrickssql	getHistoryQueriesByLookupKeys	Um usuário obtém detalhes de uma ou mais execuções de consulta usando chaves de pesquisa.	lookup_keys include_metrics
databrickssql	getHistoryQuery	Um usuário obtém detalhes de uma execução de consulta através da interface do usuário.	id queryId include_metrics include_plans include_json_plans
databrickssql	listHistoryQueries	Um usuário abre a página de histórico de consultas ou chama o Histórico de Consultas Listar API de Consultas.	filter_by include_metrics max_results page_token order_by
databrickssql	moveAlertToTrash	Um usuário move um alerta herdado para a lixeira usando a API. Exclui exclusões da interface do usuário do navegador de arquivos ou da interface de alerta herdada.	alertId
databrickssql	moveDashboardToTrash	Um usuário move um painel de controle para a lixeira.	dashboardId
databrickssql	moveQueryToTrash	Um usuário move uma consulta para o lixo.	queryId treestoreId: emitido somente quando o novo editor do SQL é usado e um válido queryId não pode ser retornado.
databrickssql	restoreAlert	Um usuário restaura um alerta herdado da lixeira.	alertId
databrickssql	restoreDashboard	Um usuário restaura um painel da lixeira.	dashboardId
databrickssql	restoreQuery	Um usuário restaura uma consulta da lixeira.	queryId
databrickssql	setWarehouseConfig	Um administrador do ambiente de trabalho atualiza as configurações do SQL Warehouse do seu ambiente de trabalho, incluindo parâmetros de configuração e propriedades de acesso aos dados.	data_access_config enable_serverless_compute instance_profile_arn security_policy serverless_agreement sql_configuration_parameters
databrickssql	snapshotDashboard	Um usuário solicita um instantâneo de um painel. Inclui instantâneos agendados do painel.	dashboardId
databrickssql	startWarehouse	Um SQL warehouse foi iniciado.	id
databrickssql	stopWarehouse	Um gerente de warehouse interrompe um SQL Warehouse. Exclui armazéns que foram parados automaticamente.	id
databrickssql	transferObjectOwnership	Um administrador de workspace transfere a propriedade de um dashboard, consulta ou alerta herdado para um usuário ativo por meio da API de transferência de propriedade de objeto. A transferência de propriedade feita por meio da interface do usuário ou das APIs de atualização não é capturada por esse evento de log de auditoria.	newOwner objectId objectType
databrickssql	unfavoriteDashboard	Um usuário remove um dashboard de seus favoritos.	dashboardId
databrickssql	unfavoriteQuery	Um usuário remove uma consulta dos favoritos.	queryId
databrickssql	updateAlert	Um usuário faz atualizações para um alerta herdado. ownerUserName é preenchido quando a propriedade herdada do alerta é transferida usando a API.	alertId queryId ownerUserName
databrickssql	updateNotificationDestination	Um administrador de workspace faz uma atualização de um destino de notificação.	notificationDestinationId
databrickssql	updateDashboardWidget	Um usuário faz uma atualização em um widget de dashboard. Exclui alterações nas escalas dos eixos. Exemplos de atualizações aplicáveis incluem: Mudar o tamanho ou a posição do widget Adicionando ou removendo parâmetros de widget	widgetId
databrickssql	updateDashboard	Um usuário faz uma atualização em uma propriedade do painel. Exclui alterações em agendamentos e assinaturas. Exemplos de atualizações aplicáveis incluem: Alteração no nome do painel Alteração para o SQL warehouse Alteração para as configurações Executar Como	dashboardId
databrickssql	updateFolderNode	Um usuário atualiza um nó de pasta no navegador do workspace.	name
databrickssql	updateOrganizationSetting	Um administrador do workspace faz atualizações nas configurações do SQL do workspace.	has_configured_data_access has_explored_sql_warehouses has_granted_permissions hide_plotly_mode_bar send_email_on_failed_dashboards allow_downloads
databrickssql	updateQuery	Um usuário faz uma atualização de uma consulta. ownerUserName será preenchido se a propriedade da consulta for transferida usando a API.	queryId ownerUserName
databrickssql	updateQueryDraft	Um usuário faz uma atualização em um rascunho de consulta. Emitido somente quando o editor SQL herdado é usado.	queryId
databrickssql	updateQuerySnippet	Um usuário faz uma atualização em um trecho de consulta.	querySnippetId
databrickssql	updateVisualization	Um usuário atualiza uma visualização do Editor do SQL ou do painel. Emitido somente quando o editor SQL herdado é usado.	visualizationId
databrickssql	viewAdhocVisualizationQuery	Um usuário exibe a consulta por trás de uma visualização.	nenhum

Eventos de monitoramento de dados

Os eventos dataMonitoring a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
dataMonitoring	CreateMonitor	O usuário cria um monitor.	data_classification_config full_table_name_arg assets_dir schedule output_schema_name notifications inference_log
dataMonitoring	UpdateMonitor	O usuário faz uma atualização em um monitor.	data_classification_config table_name full_table_name_arg drift_metrics_table_name dashboard_id custom_metrics assets_dir monitor_version profile_metrics_table_name baseline_table_name status output_schema_name inference_log slicing_exprs
dataMonitoring	DeleteMonitor	O usuário exclui um monitoramento.	full_table_name_arg
dataMonitoring	RunRefresh	O monitor é atualizado por agendamento ou manualmente.	full_table_name_arg

Eventos do DBFS

As tabelas a seguir incluem dbfs eventos registrados no nível do espaço de trabalho.

Há dois tipos de eventos do DBFS: chamadas à API e eventos operacionais.

Eventos da API do DBFS

Os seguintes eventos de auditoria do DBFS são registrados somente quando gravados através da API REST DO DBFS.

Serviço	Ação	Descrição	Parâmetros da solicitação
dbfs	addBlock	O usuário acrescenta um bloco de dados ao fluxo. Isso é usado em conjunto com dbfs/create para transmitir os dados para o DBFS.	handle data_length
dbfs	create	O usuário abre um fluxo para gravar um arquivo para o DBFS.	path bufferSize overwrite
dbfs	delete	O usuário exclui o arquivo ou diretório do DBFs.	recursive path
dbfs	mkdirs	O usuário cria um novo diretório DBFS.	path
dbfs	move	O usuário move um arquivo de um local para outro dentro do DBFs.	dst source_path src destination_path
dbfs	put	Um usuário carrega um arquivo por meio do uso de postagem de formulários de várias partes para o DBFS.	path overwrite

Eventos operacionais do DBFS

Os seguintes eventos de auditoria do DBFS ocorrem no plano de computação.

Serviço	Ação	Descrição	Parâmetros da solicitação
dbfs	mount	O usuário cria um ponto de montagem em um determinado local do DBFS.	mountPoint owner
dbfs	unmount	O usuário remove um ponto de montagem em um determinado local do DBFS.	mountPoint

Eventos de pipelines do Delta

Serviço	Ação	Descrição	Parâmetros da solicitação
deltaPipelines	changePipelineAcls	Um usuário altera as permissões em um pipeline.	shardId targetUserId resourceId aclPermissionSet
deltaPipelines	create	Um usuário cria um pipeline declarativo.	allow_duplicate_names clusters configuration continuous development dry_run id libraries name storage target channel edition photon
deltaPipelines	delete	Um usuário exclui um pipeline declarativo.	pipeline_id
deltaPipelines	edit	Um usuário edita um pipeline declarativo.	allow_duplicate_names clusters configuration continuous development expected_last_modified id libraries name pipeline_id storage target channel edition photon
deltaPipelines	startUpdate	Um usuário reinicia um pipeline declarativo.	cause full_refresh job_task pipeline_id
deltaPipelines	stop	Um usuário para um pipeline declarativo.	pipeline_id

Eventos do repositório de recursos

Os eventos featureStore a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
featureStore	addConsumer	Um consumidor foi adicionado à loja de recursos.	features job_run notebook
featureStore	addDataSources	Uma fonte de dados foi adicionada a uma tabela de recursos.	feature_table paths, tables
featureStore	addProducer	Um produtor foi adicionado a uma tabela de recursos.	feature_table job_run notebook
featureStore	changeFeatureTableAcl	As permissões são alteradas em uma tabela de funcionalidades.	aclPermissionSet resourceId shardName targetUserId
featureStore	createFeatureTable	Uma tabela de funcionalidades foi criada.	description name partition_keys primary_keys timestamp_keys
featureStore	createFeatures	Os recursos são criados em uma tabela de recursos.	feature_table features
featureStore	deleteFeatureTable	Uma tabela de recursos é excluída.	name
featureStore	deleteTags	As marcas são excluídas de uma tabela de recursos.	feature_table_id keys
featureStore	getConsumers	Um usuário faz uma chamada para obter os consumidores em uma tabela de recursos.	feature_table
featureStore	getFeatureTable	Um usuário faz uma chamada para obter as tabelas de recursos.	name
featureStore	getFeatureTablesById	Um usuário faz uma chamada para obter as IDs da tabela de recursos.	ids
featureStore	getFeatures	Um usuário faz uma chamada para obter recursos.	feature_table max_results
featureStore	getModelServingMetadata	Um usuário faz uma chamada para obter os metadados do Serviço de Modelo.	feature_table_features
featureStore	getOnlineStore	Um usuário faz uma chamada para obter os detalhes do repositório virtual.	cloud feature_table online_table store_type
featureStore	getTags	Um usuário faz uma chamada para obter as marcas para uma tabela de recursos.	feature_table_id
featureStore	publishFeatureTable	Uma tabela de recursos foi publicada.	cloud feature_table host online_table port read_secret_prefix store_type write_secret_prefix
featureStore	searchFeatureTables	Um usuário pesquisa tabelas de recursos.	max_results page_token text
featureStore	setTags	As marcas são adicionadas a uma tabela de recursos.	feature_table_id tags
featureStore	updateFeatureTable	Uma tabela de recursos foi atualizada.	description name

Eventos de arquivos

Os eventos filesystem a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
filesystem	filesGet	O usuário faz download de um arquivo usando a API Files ou a UI de volumes.	path transferredSize
filesystem	filesPut	O usuário carrega um arquivo usando a API de Arquivos ou a interface do usuário de volumes.	path receivedSize
filesystem	filesDelete	O usuário exclui um arquivo usando a API Files ou a UI de volumes.	path
filesystem	filesHead	O usuário obtém informações sobre um arquivo usando a API Files ou a UI de volumes.	path

Eventos do Genie

Os eventos genie a seguir são registrados em log no nível de espaço de trabalho.

Observação

Esse serviço não está relacionado aos espaços AI/BI Genie. Consulte eventos do AI/BI Genie.

Serviço	Ação	Descrição	Parâmetros da solicitação
genie	databricksAccess	Uma equipe do Databricks está autorizada a acessar o ambiente do cliente.	duration approver reason authType user

Eventos de credenciais do Git

Os eventos gitCredentials a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
gitCredentials	getGitCredential	Um usuário recebe as credenciais do Git.	id
gitCredentials	listGitCredentials	Um usuário lista todas as credenciais do Git	nenhum
gitCredentials	deleteGitCredential	Um usuário exclui uma credencial do Git.	id
gitCredentials	updateGitCredential	Um usuário atualiza uma credencial do Git.	id git_provider git_username
gitCredentials	createGitCredential	Um usuário cria uma credencial do Git.	git_provider git_username

Eventos de scripts de inicialização global

Os eventos globalInitScripts a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
globalInitScripts	create	Um administrador de workspace cria um script de inicialização global.	name position script-SHA256 enabled
globalInitScripts	update	Um administrador de workspace atualiza um script de inicialização global.	script_id name position script-SHA256 enabled
globalInitScripts	delete	Um administrador de workspace exclui um script de inicialização global.	script_id

Eventos de grupos

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos groups a seguir são registrados em log no nível de espaço de trabalho. Essas ações estão relacionadas aos grupos de ACL herdados. Para ações relacionadas aos grupos no nível de conta e workspace, veja Eventos de conta e Eventos de conta no nível da conta.

Serviço	Ação	Descrição	Parâmetros da solicitação
groups	addPrincipalToGroup	Um administrador adiciona um usuário a um grupo.	user_name parent_name
groups	createGroup	Um administrador cria um grupo.	group_name
groups	getGroupMembers	O administrador visualiza os membros do grupo.	group_name
groups	getGroups	Um administrador exibe uma lista de grupos	nenhum
groups	getInheritedGroups	Um administrador exibe grupos herdados	nenhum
groups	removeGroup	Um administrador remove um grupo.	group_name

eventos de função do IAM

O evento iamRole a seguir é registrado em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
iamRole	changeIamRoleAcl	Um administrador de workspace altera as permissões para uma função do IAM.	targetUserId shardName resourceId aclPermissionSet

Eventos de ingestão

O evento ingestion a seguir é registrado em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
ingestion	proxyFileUpload	Um usuário carrega um arquivo no workspace do Azure Databricks.	x-databricks-content-length-0 x-databricks-total-files

Eventos do pool de instâncias

Os eventos instancePools a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
instancePools	changeInstancePoolAcl	Um usuário altera as permissões de um pool de instâncias.	shardName resourceId targetUserId aclPermissionSet
instancePools	create	Um usuário cria um pool de instâncias.	enable_elastic_disk preloaded_spark_versions idle_instance_autotermination_minutes instance_pool_name node_type_id custom_tags max_capacity min_idle_instances aws_attributes
instancePools	delete	Um usuário exclui um pool de instâncias.	instance_pool_id
instancePools	edit	Um usuário edita um pool de instâncias.	instance_pool_name idle_instance_autotermination_minutes min_idle_instances preloaded_spark_versions max_capacity enable_elastic_disk node_type_id instance_pool_id aws_attributes

Eventos do Trabalho

Os eventos jobs a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
jobs	cancel	A execução de um trabalho é cancelada.	run_id
jobs	cancelAllRuns	Um usuário cancela todas as execuções em um trabalho.	job_id
jobs	changeJobAcl	Um usuário atualiza as permissões de uma tarefa.	shardName aclPermissionSet resourceId targetUserId
jobs	create	Um usuário cria um trabalho.	spark_jar_task email_notifications notebook_task spark_submit_task timeout_seconds libraries name spark_python_task job_type new_cluster existing_cluster_id max_retries schedule run_as
jobs	delete	Um usuário exclui um trabalho.	job_id
jobs	deleteRun	Um usuário exclui a execução de um trabalho.	run_id
jobs	getRunOutput	Um usuário faz uma chamada de API para obter uma saída de execução.	run_id is_from_webapp
jobs	repairRun	Um usuário repara a execução de um trabalho.	run_id latest_repair_id rerun_tasks
jobs	reset	Um trabalho foi redefinido.	job_id new_settings
jobs	resetJobAcl	Um usuário solicita a alteração das permissões de um trabalho.	grants job_id
jobs	runCommand	Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após a execução de um comando em um notebook por uma execução de trabalho. Um comando corresponde a uma célula em um notebook.	jobId runId notebookId executionTime status commandId commandText
jobs	runFailed	A execução de uma tarefa falha ou é cancelada.	jobClusterType jobTriggerType jobId jobTaskType runId jobTerminalState idInJob orgId runCreatorUserName
jobs	runNow	Um usuário dispara a execução de um trabalho sob demanda.	notebook_params job_id jar_params workflow_context
jobs	runStart	Emitido quando a execução de um trabalho é iniciada após a validação e criação do cluster. Os parâmetros de solicitação emitidos por esse evento dependem do tipo de tarefa no trabalho. Além dos parâmetros listados, eles podem incluir: dashboardId (para uma tarefa de painel do SQL) filePath (para uma tarefa de arquivo SQL) notebookPath (para uma tarefa de notebook) mainClassName (para uma tarefa JAR do Spark) pythonFile (para uma tarefa JAR do Spark) projectDirectory (para uma tarefa dbt) commands (para uma tarefa dbt) packageName (para uma tarefa de wheel em Python) entryPoint (para uma tarefa de wheel em Python) pipelineId (para uma tarefa de pipeline) queryIds (para uma tarefa de consulta SQL) alertId (para uma tarefa de alerta SQL)	taskDependencies multitaskParentRunId orgId idInJob jobId jobTerminalState taskKey jobTriggerType jobTaskType runId runCreatorUserName
jobs	runSucceeded	Uma execução de trabalho é bem-sucedida.	idInJob jobId jobTriggerType orgId runId jobClusterType jobTaskType jobTerminalState runCreatorUserName
jobs	runTriggered	Um agendamento de trabalho é disparado automaticamente de acordo com o agendamento ou o gatilho.	jobId jobTriggeredType runId
jobs	sendRunWebhook	Um webhook é enviado quando o trabalho é iniciado, concluído ou falha.	orgId jobId jobWebhookId jobWebhookEvent runId
jobs	setTaskValue	Um usuário define os valores para uma tarefa.	run_id key
jobs	submitRun	Um usuário envia uma execução única através da API.	shell_command_task run_name spark_python_task existing_cluster_id notebook_task timeout_seconds libraries new_cluster spark_jar_task
jobs	update	Um usuário edita as configurações de um trabalho.	job_id fields_to_remove new_settings is_from_dlt

Eventos de rastreamento de linhagem

Os eventos lineageTracking a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
lineageTracking	listColumnLineages	Um usuário acessa a lista das colunas upstream ou downstream de uma coluna.	table_name column_name lineage_direction: a direção da linhagem (UPSTREAM ou DOWNSTREAM).
lineageTracking	listSecurableLineagesBySecurable	Um usuário acessa a lista dos protegíveis upstream ou downstream de um protegível.	securable_full_name securable_type lineage_direction: a direção da linhagem (UPSTREAM ou DOWNSTREAM).
lineageTracking	listEntityLineagesBySecurable	Um usuário acessa a lista de entidades (notebooks, tarefas etc.) que gravam ou leem um item de segurança.	securable_full_name securable_type lineage_direction: a direção da linhagem (UPSTREAM ou DOWNSTREAM). entity_response_filter: o tipo de entidade (notebook, tarefa, painel, pipeline, consulta, ponto de extremidade de serviço etc.).
lineageTracking	getColumnLineages	Um usuário obtém as linhagens de coluna para uma tabela e suas colunas.	table_name column_name
lineageTracking	getTableEntityLineages	Um usuário obtém as linhagens ascendentes e descendentes de uma tabela.	table_name include_entity_lineage
lineageTracking	getJobTableLineages	Um usuário obtém as linhagens de tabela de upstream e downstream de um trabalho.	job_id
lineageTracking	getFunctionLineages	Um usuário obtém os recursos seguros e as entidades relacionadas upstream e downstream (notebooks, trabalhos etc.) de uma função.	function_name
lineageTracking	getModelVersionLineages	Um usuário obtém os recursos protegidos e entidades upstream e downstream (notebooks, tarefas etc.) de um modelo e sua versão.	model_name version
lineageTracking	getEntityTableLineages	Um usuário obtém as tabelas upstream e downstream de uma entidade (notebooks, trabalhos etc.).	entity_type entity_id
lineageTracking	getFrequentlyJoinedTables	Um usuário obtém as tabelas frequentemente associadas para uma tabela.	table_name
lineageTracking	getFrequentQueryByTable	Um usuário tem acesso às consultas comuns de uma tabela.	source_table_name
lineageTracking	getFrequentUserByTable	Um usuário obtém os usuários frequentes de uma tabela.	table_name
lineageTracking	getTablePopularityByDate	Um usuário obtém a popularidade (contagem de consultas) de uma tabela do mês passado.	table_name
lineageTracking	getPopularEntities	Um usuário obtém as entidades populares (notebooks, tarefas etc.) de uma tabela.	scope: especifica o escopo para a recuperação de entidades populares, do espaço de trabalho ou do nome da tabela. table_name
lineageTracking	getPopularTables	Um usuário obtém a informação de popularidade da tabela para uma lista de tabelas.	scope: especifica o escopo para a recuperação de tabelas populares, do metastore ou da lista em tabela. table_name_list

Eventos de consumidores do marketplace

Os eventos marketplaceConsumer a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
marketplaceConsumer	getDataProduct	Um usuário obtém acesso a um produto de dados por meio do Databricks Marketplace.	listing_id listing_name share_name catalog_name request_context: matriz de informações sobre a conta e o metastore que obtiveram acesso ao produto de dados
marketplaceConsumer	requestDataProduct	Um usuário solicita acesso a um produto de dados que requer aprovação do provedor.	listing_id listing_name catalog_name request_context: matriz de informações sobre a conta e o metastore que solicitaram acesso ao produto de dados

Eventos do provedor do Marketplace

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos marketplaceProvider a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
marketplaceProvider	createListing	Um administrador do metastore cria uma listagem em seu perfil de provedor.	listing: matriz de detalhes sobre a listagem request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	updateListing	Um administrador do metastore faz uma atualização para uma listagem no respectivo perfil de provedor.	id listing: matriz de detalhes sobre a listagem request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	deleteListing	Um administrador do metastore exclui uma listagem em seu perfil de provedor.	id request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	updateConsumerRequestStatus	Um administrador de metastore aprova ou nega uma solicitação de produto de dados.	listing_id request_id status reason share: matriz de informações sobre o compartilhamento request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	createProviderProfile	Um administrador do metastore cria um perfil de provedor.	provider: matriz de informações sobre o provedor request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	updateProviderProfile	Um administrador do metastore faz uma atualização para seu perfil de provedor.	id provider: matriz de informações sobre o provedor request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	deleteProviderProfile	Um administrador do metastore exclui seu perfil de provedor.	id request_context: matriz de informações sobre a conta e o metastore do provedor
marketplaceProvider	uploadFile	Um provedor carrega um arquivo em seu perfil de provedor.	request_context: matriz de informações sobre a conta e o metastore do provedor marketplace_file_type display_name mime_type file_parent: matriz de detalhes pai do arquivo
marketplaceProvider	deleteFile	Um provedor exclui um arquivo de seu perfil de provedor.	file_id request_context: matriz de informações sobre a conta e o metastore do provedor

Artefatos do MLflow com eventos de ACL

Os eventos mlflowAcledArtifact a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
mlflowAcledArtifact	readArtifact	Um usuário faz uma chamada para ler um artefato.	artifactLocation experimentId runId
mlflowAcledArtifact	writeArtifact	Um usuário faz uma chamada para gravar em um artefato.	artifactLocation experimentId runId

Eventos do experimentos do MLFlow

Os eventos mlflowExperiment a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
mlflowExperiment	createMlflowExperiment	Um usuário cria um experimento do MLFlow.	experimentId path experimentName
mlflowExperiment	deleteMlflowExperiment	Um usuário exclui um experimento do MLFlow.	experimentId path experimentName
mlflowExperiment	moveMlflowExperiment	Um usuário move um experimento do MLflow.	newPath experimentId oldPath
mlflowExperiment	restoreMlflowExperiment	Um usuário restaura um experimento do MLFlow.	experimentId path experimentName
mlflowExperiment	renameMlflowExperiment	Um usuário renomeia um experimento do MLFlow.	oldName newName experimentId parentPath

Eventos do registro de modelo do MLFlow

Os eventos mlflowModelRegistry a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
modelRegistry	approveTransitionRequest	Um usuário aprova uma solicitação de transição de fase da versão do modelo.	name version stage archive_existing_versions
modelRegistry	changeRegisteredModelAcl	Um usuário atualiza as permissões de um modelo registrado.	registeredModelId userId
modelRegistry	createComment	Um usuário publica um comentário em uma versão do modelo.	name version
modelRegistry	createModelVersion	Um usuário cria uma versão do modelo.	name source run_id tags run_link
modelRegistry	createRegisteredModel	Um usuário cria um novo modelo registrado	name tags
modelRegistry	createRegistryWebhook	Um usuário cria um webhook para os eventos do Registro de Modelo.	orgId registeredModelId events description status creatorId httpUrlSpec
modelRegistry	createTransitionRequest	Um usuário cria uma solicitação de transição de fase da versão do modelo.	name version stage
modelRegistry	deleteComment	Um usuário exclui um comentário em uma versão de modelo.	id
modelRegistry	deleteModelVersion	Um usuário exclui uma versão do modelo.	name version
modelRegistry	deleteModelVersionTag	Um usuário exclui uma tag de versão do modelo.	name version key
modelRegistry	deleteRegisteredModel	Um usuário exclui um modelo registrado	name
modelRegistry	deleteRegisteredModelTag	Um usuário exclui a tag de um modelo registrado.	name key
modelRegistry	deleteRegistryWebhook	O usuário exclui um webhook do Registro de Modelo.	orgId webhookId
modelRegistry	deleteTransitionRequest	Um usuário cancela uma solicitação de transição de fase da versão do modelo.	name version stage creator
modelRegistry	finishCreateModelVersionAsync	A cópia de modelo assíncrona foi concluída.	name version
modelRegistry	generateBatchInferenceNotebook	O notebook de inferência do Lote é gerado automaticamente.	userId orgId modelName inputTableOpt outputTablePathOpt stageOrVersion modelVersionEntityOpt notebookPath
modelRegistry	generateDltInferenceNotebook	O notebook de inferência para um pipeline declarativo é gerado automaticamente.	userId orgId modelName inputTable outputTable stageOrVersion notebookPath
modelRegistry	getModelVersionDownloadUri	Um usuário recebe um URI para baixar a versão do modelo.	name version
modelRegistry	getModelVersionSignedDownloadUri	Um usuário recebe um URI para baixar uma versão do modelo assinada.	name version path
modelRegistry	listModelArtifacts	Um usuário faz uma chamada para listar os artefatos de um modelo.	name version path page_token
modelRegistry	listRegistryWebhooks	Um usuário executa um comando para listar todos os webhooks do registro do modelo.	orgId registeredModelId
modelRegistry	rejectTransitionRequest	Um usuário rejeita uma solicitação de transição de fase da versão do modelo.	name version stage
modelRegistry	renameRegisteredModel	Um usuário renomeia um modelo registrado	name new_name
modelRegistry	setEmailSubscriptionStatus	Um usuário atualiza o status da assinatura de email de um modelo registrado
modelRegistry	setModelVersionTag	Um usuário define uma etiqueta de versão do modelo.	name version key value
modelRegistry	setRegisteredModelTag	Um usuário define uma etiqueta de versão do modelo.	name key value
modelRegistry	setUserLevelEmailSubscriptionStatus	Um usuário atualiza o status das suas notificações por email para toda a inscrição.	orgId userId subscriptionStatus
modelRegistry	testRegistryWebhook	Um usuário testa o Webhook do Registro de Modelos.	orgId webhookId
modelRegistry	transitionModelVersionStage	Um usuário obtém uma lista de todas as solicitações de transição de fase em aberto para a versão do modelo.	name version stage archive_existing_versions
modelRegistry	triggerRegistryWebhook	Um Webhook do Registro de Modelos foi disparado por um evento.	orgId registeredModelId events status
modelRegistry	updateComment	Um usuário publica uma edição em um comentário sobre uma versão do modelo.	id
modelRegistry	updateRegistryWebhook	Um usuário atualiza um webhook do Registro de Modelo.	orgId webhookId

Eventos do serviço de Modelo

Os eventos serverlessRealTimeInference a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
serverlessRealTimeInference	changeInferenceEndpointAcl	O usuário atualiza as permissões para um ponto de extremidade de inferência.	shardName targetUserId resourceId aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	O usuário cria um ponto de extremidade de serviço do modelo.	name config
serverlessRealTimeInference	deleteServingEndpoint	O usuário exclui um ponto de extremidade de serviço do modelo.	name
serverlessRealTimeInference	disable	O usuário desativa o serviço do modelo para um modelo registrado.	registered_mode_name
serverlessRealTimeInference	enable	O usuário ativa o serviço do modelo para um modelo registrado.	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	Os usuários fazem uma chamada para obter a pré-visualização do esquema de consulta.	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	Um usuário atualiza um ponto de extremidade de serviço do modelo.	name served_models traffic_config
serverlessRealTimeInference	updateInferenceEndpointRateLimits	Um usuário atualiza os limites de taxa de um ponto de extremidade de inferência. Os limites de taxa se aplicam apenas às APIs do Foundation Model com pagamento por token e aos pontos de extremidade de modelos externos.	name rate_limits

Eventos do Notebook

Os eventos notebook a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
notebook	attachNotebook	Um notebook foi conectado a um cluster. Também emitido quando o novo editor do SQL é anexado a um SQL Warehouse.	path clusterId notebookId
notebook	cloneNotebook	Um usuário clona um notebook.	notebookId path clonedNotebookId destinationPath
notebook	createNotebook	Um notebook foi criado.	notebookId path
notebook	deleteFolder	Uma pasta do notebook foi excluída.	path
notebook	deleteNotebook	Um notebook foi excluído.	notebookId notebookName path
notebook	detachNotebook	Um notebook foi desanexado de um cluster. Também emitido quando o novo editor SQL é desvinculado de um SQL Warehouse.	notebookId clusterId path
notebook	downloadLargeResults	Um usuário baixa resultados de consulta muito grandes para serem exibidos no notebook.	notebookId notebookFullPath
notebook	downloadPreviewResults	Um usuário baixa os resultados da consulta.	notebookId notebookFullPath
notebook	importNotebook	Um usuário importa um notebook.	path
notebook	moveFolder	Uma pasta do notebook foi movida de um local para outro.	oldPath newPath folderId
notebook	moveNotebook	Um notebook foi movido de um local para outro.	newPath oldPath notebookId
notebook	renameNotebook	Um notebook foi renomeado.	newName oldName parentPath notebookId
notebook	restoreFolder	Uma pasta excluída foi restaurada.	path
notebook	restoreNotebook	Um caderno deletado é recuperado.	path notebookId notebookName
notebook	runCommand	Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após o Databricks executar um comando em um notebook ou no novo editor do SQL. Um comando corresponde a uma célula em um notebook ou ao texto da consulta no novo editor do SQL. executionTime é medido em segundos.	notebookId executionTime status commandId commandText commandLanguage
notebook	takeNotebookSnapshot	Os instantâneos do notebook são obtidos quando o serviço de trabalho ou o MLFlow é executado.	path

Eventos do Partner Connect

Os eventos partnerHub a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
partnerHub	createOrReusePartnerConnection	Um administrador do workspace configura uma conexão com uma solução de parceiro.	partner_name
partnerHub	deletePartnerConnection	Um administrador do espaço de trabalho exclui uma conexão com um parceiro.	partner_name
partnerHub	downloadPartnerConnectionFile	Um administrador do workspace baixa o arquivo de conexão com o parceiro.	partner_name
partnerHub	setupResourcesForPartnerConnection	Um administrador do workspace configura os recursos para uma conexão com o parceiro.	partner_name

Eventos de otimização preditiva

Os eventos predictiveOptimization a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
predictiveOptimization	PutMetrics	Registrados quando a otimização preditiva atualiza as métricas de tabela e de carga de trabalho para que o serviço possa agendar operações de otimização de maneira mais inteligente.	table_metrics_list start_time end_time

Eventos do serviço de histórico remoto

Os eventos RemoteHistoryService a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
RemoteHistoryService	addUserGitHubCredentials	O usuário adiciona as Credenciais do Github	nenhum
RemoteHistoryService	deleteUserGitHubCredentials	O usuário remove as Credenciais do Github	nenhum
RemoteHistoryService	updateUserGitHubCredentials	O usuário atualiza as Credenciais do Github	nenhum

Eventos da pasta Git

Os eventos repos a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
repos	checkoutBranch	Um usuário faz o check-out de um branch no repositório.	id branch
repos	commitAndPush	Um usuário confirma e envia para um repositório.	id message files checkSensitiveToken
repos	createRepo	Um usuário cria um repositório no espaço de trabalho	url provider path
repos	deleteRepo	Um usuário exclui um repositório.	id
repos	discard	Um usuário descarta uma confirmação em um repositório.	id file_paths
repos	getRepo	Um usuário faz uma chamada para obter informações sobre um único repositório.	id
repos	listRepos	Um usuário faz uma chamada para obter todos os repositórios nos quais tem permissões de gerenciamento.	path_prefix next_page_token
repos	pull	Um usuário realiza um pull dos commits mais recentes de um repositório.	id
repos	updateRepo	Um usuário atualiza o repositório para uma ramificação ou tag diferente, ou para o commit mais recente na mesma ramificação.	id branch tag git_url git_provider

Eventos de segredos

Os eventos secrets a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
secrets	createScope	O usuário cria um escopo secreto.	scope initial_manage_principal scope_backend_type
secrets	deleteAcl	O usuário exclui ACLs para um escopo de segredo.	scope principal
secrets	deleteScope	O usuário exclui um escopo de segredo.	scope
secrets	deleteSecret	O usuário exclui um segredo de um escopo.	key scope
secrets	getAcl	O usuário obtém ACLs para um escopo de segredo.	scope principal
secrets	getSecret	O usuário obtém um segredo de um escopo.	key scope
secrets	listAcls	Um usuário faz uma chamada para listar ACLs para um escopo de segredo.	scope
secrets	listScopes	Um usuário faz uma chamada para listar os escopos de segredo	nenhum
secrets	listSecrets	Um usuário faz uma chamada para listar os segredos dentro de um escopo.	scope
secrets	putAcl	O usuário altera as ACLs para um escopo de segredo.	scope principal permission
secrets	putSecret	O usuário adiciona ou edita um segredo dentro de um escopo.	string_value key scope

Eventos de acesso à tabela do SQL

Observação

O serviço sqlPermissions inclui eventos relacionados ao controle de acesso à tabela de metastore do Hive herdado. O Databricks recomenda que você atualize as tabelas gerenciadas pelo metastore do Hive para o metastore do Catálogo do Unity.

Os eventos sqlPermissions a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
sqlPermissions	changeSecurableOwner	O administrador do espaço de trabalho ou proprietário de um objeto transfere a propriedade do objeto.	securable principal
sqlPermissions	createSecurable	O usuário cria um objeto protegível.	securable
sqlPermissions	denyPermission	O proprietário do objeto nega privilégios em um objeto protegível.	permission
sqlPermissions	grantPermission	O proprietário do objeto concede permissão em um objeto protegível.	permission
sqlPermissions	removeAllPermissions	O usuário descarta um objeto protegível.	securable
sqlPermissions	renameSecurable	O usuário renomeia um objeto protegível.	before after
sqlPermissions	requestPermissions	O usuário solicita permissões em um objeto protegível.	requests
sqlPermissions	revokePermission	O proprietário do objeto revoga as permissões em seu objeto protegível.	permission
sqlPermissions	showPermissions	O usuário visualiza as permissões de objetos protegíveis.	securable principal

eventos do SSH

Os eventos ssh a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
ssh	login	Logon do agente do SSH no driver do Spark.	containerId userName port publicKey instanceId
ssh	logout	Logoff do agente do SSH do driver do Spark.	userName containerId instanceId

Eventos uniformes da API REST do Iceberg

Os eventos uniformIcebergRestCatalog a seguir são registrados em log no nível de espaço de trabalho. Esses eventos são registrados quando os usuários interagem com tabelas gerenciadas do Apache Iceberg usando um mecanismo externo compatível com Iceberg que dá suporte à API do Catálogo REST do Iceberg.

Serviço	Ação	Descrição	Parâmetros da solicitação
uniformIcebergRestCatalog	config	O usuário recebe uma configuração de catálogo.	http_method http_path
uniformIcebergRestCatalog	createNamespace	O usuário cria um namespace, com um conjunto opcional de propriedades.	http_method http_path
uniformIcebergRestCatalog	createTable	O usuário cria uma nova tabela Iceberg.	http_method http_path
uniformIcebergRestCatalog	deleteNamespace	O usuário exclui um namespace existente.	http_method http_path
uniformIcebergRestCatalog	deleteTable	O usuário exclui uma tabela existente.	http_method http_path
uniformIcebergRestCatalog	getNamespace	O usuário obtém propriedades de um namespace.	http_method http_path
uniformIcebergRestCatalog	listNamespaces	O usuário faz uma chamada para listar todos os namespaces em um nível especificado.	http_method http_path
uniformIcebergRestCatalog	listTables	O usuário lista todas as tabelas em um determinado namespace.	http_method http_path
uniformIcebergRestCatalog	loadTableCredentials	O usuário carrega credenciais vendidas para uma tabela do catálogo.	http_method http_path
uniformIcebergRestCatalog	loadTable	O usuário carrega uma tabela do catálogo.	http_method http_path
uniformIcebergRestCatalog	loadView	O usuário carrega uma exibição do catálogo.	http_method http_path
uniformIcebergRestCatalog	namespaceExists	O usuário verifica se existe um namespace.	http_method http_path
uniformIcebergRestCatalog	renameTable	O usuário renomeia uma tabela existente	http_method http_path
uniformIcebergRestCatalog	reportMetrics	O usuário envia um relatório de métricas	http_method http_path
uniformIcebergRestCatalog	tableExists	O usuário verifica se existe uma tabela em um determinado namespace.	http_method http_path
uniformIcebergRestCatalog	updateNamespaceProperties	O usuário atualiza as propriedades de um namespace.	http_method http_path
uniformIcebergRestCatalog	updateTable	O usuário atualiza os metadados da tabela.	http_method http_path
uniformIcebergRestCatalog	viewExists	O usuário verifica se existe uma exibição em um determinado namespace.	http_method http_path

Eventos de busca em vetores

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos vectorSearch a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
vectorSearch	createEndpoint	O usuário cria um endpoint de pesquisa vetorial.	name endpoint_type
vectorSearch	deleteEndpoint	O usuário exclui um endpoint de busca vetorial.	name
vectorSearch	createVectorIndex	O usuário cria um índice de busca em vetores.	name endpoint_name primary_key index_type delta_sync_index_spec direct_access_index_spec
vectorSearch	deleteVectorIndex	O usuário exclui um índice de busca em vetores.	name endpoint_name (opcional) delete_embedding_writeback_table
vectorSearch	changeEndpointAcl	O usuário altera a lista de controle de acesso de um endpoint.	name endpoint_name access_control_list
vectorSearch	queryVectorIndex	O usuário consulta um índice de pesquisa de vetor.	name endpoint_name (opcional)
vectorSearch	queryVectorIndexNextPage	O usuário lê os resultados paginados de uma consulta de índice de pesquisa de vetor.	name endpoint_name (opcional)
vectorSearch	scanVectorIndex	O usuário verifica todos os dados em um índice de pesquisa de vetor.	name endpoint_name (opcional)
vectorSearch	upsertDataVectorIndex	O usuário insere ou atualiza dados em um índice de busca em vetores de Acesso Direto.	name endpoint_name (opcional)
vectorSearch	deleteDataVectorIndex	O usuário exclui dados em um índice de pesquisa de vetor do Direct Access.	name endpoint_name (opcional)
vectorSearch	queryVectorIndexRouteOptimized	O usuário consulta um índice de pesquisa de vetor usando uma rota de API de baixa latência.	name endpoint_name (opcional)
vectorSearch	queryVectorIndexNextPageRouteOptimized	O usuário lê os resultados paginados de uma consulta de índice de pesquisa de vetor usando uma rota de API de baixa latência.	name endpoint_name (opcional)
vectorSearch	scanVectorIndexRouteOptimized	O usuário verifica todos os dados em um índice de pesquisa de vetor usando uma rota de API de baixa latência.	name endpoint_name (opcional)
vectorSearch	upsertDataVectorIndexRouteOptimized	O usuário insere/atualiza dados em um índice de busca vetorial de Acesso Direto usando uma rota de API de baixa latência.	name endpoint_name (opcional)
vectorSearch	deleteDataVectorIndexRouteOptimized	O usuário exclui dados em um índice de pesquisa vetorial de acesso direto usando uma rota de API de baixa latência.	name endpoint_name (opcional)

:Eventos do webhook

Os eventos webhookNotifications a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
webhookNotifications	createWebhook	Um administrador cria um novo destino de notificação.	name options type
webhookNotifications	deleteWebhook	Um administrador exclui um destino de notificação.	id
webhookNotifications	getWebhook	Um usuário exibe informações sobre um destino de notificação usando a interface do usuário ou a API.	id
webhookNotifications	notifyWebhook	Um webhook é disparado e envia uma carga de notificação para a URL de destino.	body id
webhookNotifications	testWebhook	Uma carga de teste é enviada para uma URL de webhook para verificar a configuração e garantir que ela possa receber notificações com êxito.	id
webhookNotifications	updateWebhook	Um administrador atualiza um destino de notificação.	name options type

Eventos de terminal web

Os eventos webTerminal a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
webTerminal	startSession	O usuário inicia uma sessão de terminal da Web.	socketGUID clusterId serverPort ProxyTargetURI
webTerminal	closeSession	O usuário fecha uma sessão de terminal da Web.	socketGUID clusterId serverPort ProxyTargetURI

Eventos do espaço de trabalho

Os eventos workspace a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
workspace	changeWorkspaceAcl	As permissões para o espaço de trabalho são alteradas.	shardName targetUserId aclPermissionSet resourceId
workspace	deleteSetting	Uma configuração foi excluída do workspace.	settingKeyTypeName settingKeyName settingTypeName settingName
workspace	fileCreate	O usuário cria um arquivo no workspace.	path
workspace	fileDelete	O usuário exclui um arquivo no workspace.	path
workspace	fileEditorOpenEvent	O usuário abre o editor de arquivos.	notebookId path
workspace	getRoleAssignment	O usuário obtém as funções de usuário de um workspace.	account_id workspace_id
workspace	mintOAuthAuthorizationCode	Registrado quando o código de autorização OAuth interno é obtido no nível do workspace.	client_id
workspace	mintOAuthToken	O token OAuth é obtido para o workspace.	grant_type scope expires_in client_id
workspace	moveWorkspaceNode	Um administrador do workspace move o nó do workspace.	destinationPath path
workspace	purgeWorkspaceNodes	Um administrador do espaço de trabalho exclui os nós do espaço de trabalho.	treestoreId
workspace	reattachHomeFolder	Uma pasta inicial existente é anexada novamente para um usuário que é adicionado novamente ao workspace.	path
workspace	renameWorkspaceNode	Um administrador do espaço de trabalho renomeia os nós do espaço de trabalho.	path destinationPath
workspace	unmarkHomeFolder	Os atributos especiais da pasta inicial são removidos quando um usuário é removido do workspace.	path
workspace	updateRoleAssignment	Um administrador de workspace atualiza a função de um usuário do workspace.	account_id workspace_id principal_id
workspace	updatePermissionAssignment	Um administrador de workspace adiciona uma entidade de segurança ao workspace.	principal_id permissions
workspace	setSetting	Um administrador de workspace define uma configuração do workspace.	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
workspace	workspaceConfEdit	O administrador do workspace faz atualizações em uma configuração, por exemplo, habilitando os logs de auditoria detalhados.	workspaceConfKeys workspaceConfValues
workspace	workspaceExport	O usuário exporta um notebook de uma área de trabalho.	workspaceExportDirectDownload workspaceExportFormat notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	O cliente OAuth é autenticado no serviço de espaço de trabalho.	user

Eventos de Apps do Databricks

Os seguintes eventos do Databricks Apps são registrados no nível do workspace.

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
apps	createApp	Um usuário cria um aplicativo personalizado usando a interface do usuário ou a API de Aplicativos.	app
apps	installTemplateApp	Um usuário instala um aplicativo de modelo usando a interface do usuário ou a API de Aplicativos.	app
apps	updateApp	Um usuário atualiza um aplicativo usando a interface do usuário ou a API de Aplicativos.	app
apps	startApp	Um usuário inicia a computação do aplicativo usando a interface do usuário ou a API de Aplicativos.	name
apps	stopApp	Um usuário interrompe a computação do aplicativo usando a interface do usuário ou a API de Aplicativos.	name
apps	deployApp	Um usuário implanta um aplicativo usando a interface do usuário ou a API de Aplicativos.	app_deployment
apps	deleteApp	Um usuário exclui um aplicativo usando a interface do usuário ou a API de Aplicativos.	name
apps	changeAppsAcl	Um usuário atualiza o acesso de um aplicativo usando a interface do usuário ou a API de Aplicativos.	request_object_type request_object_id access_control_list

Eventos de controle de acesso à conta

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos de accountsAccessControl a seguir são registrados no nível da conta e estão relacionados à API de Controle de Acesso da Conta (Versão Prévia Pública).

Serviço	Nome da ação	Descrição	Parâmetros da solicitação
accountsAccessControl	updateRuleSet	Um usuário atualiza um conjunto de regras usando a API de Controle de Acesso da Conta.	account_id name: nome do conjunto de regras rule_set authz_identity

Eventos de uso faturável

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos accountBillableUsage a seguir são registrados em log no nível da conta.

Serviço	Ação	Descrição	Parâmetros da solicitação
accountBillableUsage	getAggregatedUsage	O usuário acessou o uso faturável agregado por dia da conta por meio do recurso Gráfico de Utilização.	account_id window_size start_time end_time meter_name workspace_ids_filter
accountBillableUsage	getDetailedUsage	Um usuário acessou o uso faturável detalhado (uso de cada cluster) da conta por meio do recurso Download de Uso.	account_id start_month end_month with_pii

Eventos de conta no nível da conta

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos accounts a seguir são registrados em log no nível da conta.

Serviço	Ação	Descrição	Parâmetros da solicitação
accounts	accountInHouseOAuthClientAuthentication	Um cliente OAuth foi autenticado.	endpoint user: registrado como um endereço de email authenticationMethod
accounts	accountIpAclsValidationFailed	Falha na validação de permissões de IP. Retorna o código de status 403.	sourceIpAddress user: registrado como um endereço de email
accounts	activateUser	Um usuário é reativado após ser desativado. Confira Desativar usuários na conta.	targetUserName endpoint targetUserId
accounts	add	Um usuário é adicionado à conta do Azure Databricks.	targetUserName endpoint targetUserId
accounts	addPrincipalsToGroup	Os usuários são adicionados a um grupo no nível da conta usando o provisionamento do SCIM.	targetGroupId endpoint targetUserId targetGroupName groupMembershipType targetUserName
accounts	createGroup	Um grupo no nível da conta é criado.	endpoint targetGroupId targetGroupName
accounts	deactivateUser	Um usuário é desativado. Confira Desativar usuários na conta.	targetUserName endpoint targetUserId
accounts	delete	Um usuário foi excluído da conta do Azure Databricks.	targetUserId targetUserName endpoint
accounts	deleteSetting	O administrador da conta remove uma configuração da conta do Azure Databricks.	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	garbageCollectDbToken	Um usuário executa um comando de coleta de lixo em tokens expirados.	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	Um usuário gera um token a partir das Configurações do Usuário ou quando o serviço gera o token.	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	login	Um usuário faz logon no console da conta.	user authenticationMethod
accounts	logout	Um usuário sai do console da conta.	user
accounts	oidcBrowserLogin	Um usuário acessa sua conta com o processo de autenticação via navegador do OpenID Connect.	user
accounts	oidcTokenAuthorization	Um token do OIDC é autenticado para um logon de administrador de conta.	user authenticationMethod
accounts	removeAccountAdmin	Um administrador de conta remove as permissões de administrador de conta de outro usuário.	targetUserName endpoint targetUserId
accounts	removeGroup	Um grupo foi removido da conta.	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	Um usuário é removido de um grupo no nível da conta.	targetGroupId endpoint targetUserId targetGroupName groupMembershipType targetUserName
accounts	removePrincipalsFromGroup	Os usuários são removidos de um grupo no nível da conta usando o provisionamento do SCIM.	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	setAccountAdmin	Um administrador de conta atribui a função de administrador de conta a outro usuário.	targetUserName endpoint targetUserId
accounts	setSetting	Um administrador de conta atualiza uma configuração de nível de conta.	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	tokenLogin	Um usuário faz logon no Databricks usando um token.	tokenId user authenticationMethod
accounts	updateUser	Um administrador de conta atualiza uma conta de usuário.	targetUserName endpoint targetUserId targetUserExternalId
accounts	updateGroup	Um administrador de conta atualiza um grupo no nível da conta.	endpoint targetGroupId targetGroupName
accounts	validateEmail	Quando um usuário valida seu email após a criação da conta.	endpoint targetUserName targetUserId

Eventos de gerenciamento de conta

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos accountsManager a seguir são registrados em log no nível da conta. Esses eventos têm a ver com as configurações feitas pelos administradores da conta no console da conta.

Serviço	Ação	Descrição	Parâmetros da solicitação
accountsManager	createNetworkConnectivityConfig	O administrador da conta criou uma configuração de conectividade de rede.	network_connectivity_config account_id
accountsManager	getNetworkConnectivityConfig	O administrador da conta solicita detalhes sobre uma configuração de conectividade de rede.	account_id network_connectivity_config_id
accountsManager	listNetworkConnectivityConfigs	O administrador da conta lista todas as configurações de conectividade de rede na conta.	account_id
accountsManager	deleteNetworkConnectivityConfig	O administrador da conta excluiu uma configuração de conectividade de rede.	account_id network_connectivity_config_id
accountsManager	createNetworkConnectivityConfigPrivateEndpointRule	O administrador da conta criou uma regra de ponto de extremidade privado.	account_id network_connectivity_config_id azure_private_endpoint_rule
accountsManager	getNetworkConnectivityConfigPrivateEndpointRule	O administrador da conta solicita detalhes sobre uma regra de ponto de extremidade privado.	account_id network_connectivity_config_id rule_id
accountsManager	listNetworkConnectivityConfigPrivateEndpointRules	O administrador da conta lista todas as regras de ponto de extremidade privado em uma configuração de conectividade de rede.	account_id network_connectivity_config_id page_token
accountsManager	deleteNetworkConnectivityConfigPrivateEndpointRule	O administrador da conta excluiu uma regra de ponto de extremidade privado.	account_id network_connectivity_config_id rule_id
accountsManager	updateNetworkConnectivityConfigPrivateEndpointRule	O administrador da conta atualizou uma regra de ponto de acesso privado.	account_id network_connectivity_config_id rule_id azure_private_endpoint_rule

Eventos de política de orçamento sem servidor

budgetPolicyCentral Os eventos a seguir são registrados no nível da conta e estão relacionados a políticas de orçamento sem servidor. Consulte o uso de atributos com políticas de orçamento sem servidor.

Serviço	Ação	Descrição	Parâmetros da solicitação
budgetPolicyCentral	createBudgetPolicy	O administrador do workspace ou administrador de cobrança cria uma política de orçamento sem servidor. O novo policy_id é registrado na coluna response.	policy_name
budgetPolicyCentral	updateBudgetPolicy	O administrador do workspace, o administrador de cobrança ou o gerenciador de políticas atualiza uma política de orçamento sem servidor.	policy.policy_id policy.policy_name
budgetPolicyCentral	deleteBudgetPolicy	O administrador do workspace, o administrador de cobrança ou o gerenciador de políticas exclui uma política de orçamento sem servidor.	policy_id

Eventos do Salas Limpas

Os eventos clean-room a seguir são registrados em log no nível da conta.

Serviço	Ação	Descrição	Parâmetros da solicitação
clean-room	createCleanRoom	Um usuário em sua conta do Databricks cria uma nova sala limpa usando a interface do usuário ou a API.	clean_room_name cloud_vendor collaborators metastore_id region workspace_id
clean-room	createCleanRoomAsset	Um usuário em sua conta cria um ativo de sala limpa.	asset clean_room_name
clean-room	createCleanRoomAssetReview	Um usuário em sua conta do Databricks cria uma avaliação para um ativo de sala limpa por meio da interface do usuário ou da API. Atualmente, somente blocos de anotações são revisíveis.	clean_room_name asset_full_name notebook_review asset_type
clean-room	createCleanRoomAutoApprovalRule	Um usuário em sua conta do Databricks cria uma regra de aprovação automática para uma sala limpa usando a interface do usuário ou a API. A resposta inclui um rule_id referenciado na tabela do sistema clean_room_events.	clean_room_name auto_approval_rule
clean-room	createCleanRoomOutputCatalog	Um usuário em sua conta do Databricks cria uma tabela de saída em uma sala limpa usando a interface do usuário ou a API.	clean_room_name output_catalog_name metastore_id workspace_id
clean-room	deleteCleanRoom	Um usuário em sua conta do Databricks exclui uma sala limpa usando a interface do usuário ou a API.	clean_room_name metastore_id workspace_id
clean-room	deleteCleanRoomAsset	Um usuário em sua conta exclui um ativo de sala limpa.	asset_full_name asset_type clean_room_name
clean-room	deleteCleanRoomAutoApprovalRule	Um usuário em sua conta do Databricks exclui uma regra de aprovação automática para uma sala limpa usando a interface do usuário ou a API.	clean_room_name rule_id
clean-room	getCleanRoom	Um usuário em sua conta obtém detalhes sobre uma sala limpa usando a interface do usuário ou a API.	clean_room_name metastore_id workspace_id
clean-room	getCleanRoomAsset	Um usuário em sua conta exibe os detalhes de um ativo de dados de uma sala limpa usando a interface.	asset_full_name metastore_id workspace_id asset_type clean_room_name collaborator_global_metastore_id
clean-room	listCleanRoomAssets	Um usuário obtém uma lista de ativos em uma sala limpa.	clean_room_name
clean-room	listCleanRoomAutoApprovalRules	Um usuário em sua conta do Databricks lista regras de aprovação automática para uma sala limpa usando a interface do usuário ou a API.	clean_room_name
clean-room	listCleanRoomNotebookTaskRuns	Um usuário obtém uma lista de execuções de tarefa de notebook dentro de uma sala limpa.	clean_room_name notebook_name
clean-room	listCleanRooms	Um usuário obtém uma lista de todas as salas limpas usando a interface do usuário do workspace ou todas as salas limpas no metastore usando a API.	metastore_id workspace_id
clean-room	updateCleanRoom	Um usuário em sua conta atualiza os detalhes ou os ativos de uma sala limpa.	added_assets clean_room_name owner metastore_id workspace_id updated_assets removed_assets
clean-room	updateCleanRoomAsset	Um usuário em sua conta atualiza um ativo de sala limpa.	asset clean_room_name

Eventos do Catálogo do Unity

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os seguintes eventos de diagnóstico estão relacionados ao Catálogo do Unity. Os eventos do Compartilhamento Delta também estão registrados no serviço unityCatalog. Para eventos do Delta Sharing, veja Eventos de Compartilhamento Delta. Os eventos de auditoria do Catálogo Unity podem ser registrados no nível do espaço de trabalho ou no nível da conta, dependendo do evento.

Serviço	Ação	Descrição	Parâmetros da solicitação
unityCatalog	createMetastore	O administrador da conta cria um metastore.	name storage_root workspace_id metastore_id
unityCatalog	getMetastore	O administrador da conta solicita a ID do metastore.	id workspace_id metastore_id
unityCatalog	getMetastoreSummary	O administrador da conta solicita os detalhes sobre um metastore.	workspace_id metastore_id
unityCatalog	listMetastores	O administrador da conta solicita uma lista de todos os metastores em uma conta.	workspace_id
unityCatalog	updateMetastore	O administrador da conta faz uma atualização em um metastore.	id owner workspace_id metastore_id
unityCatalog	deleteMetastore	O administrador da conta exclui um metastore.	id force workspace_id metastore_id
unityCatalog	updateMetastoreAssignment	O administrador da conta faz uma atualização na atribuição do workspace de um metastore.	workspace_id metastore_id default_catalog_name
unityCatalog	createExternalLocation	O administrador da conta cria uma localização externa.	name skip_validation url credential_name workspace_id metastore_id
unityCatalog	getExternalLocation	O administrador da conta solicita os detalhes sobre uma localização externa.	name_arg include_browse workspace_id metastore_id
unityCatalog	listExternalLocations	O administrador da conta solicita uma lista de todas as localizações externas em uma mesma conta.	url max_results workspace_id metastore_id
unityCatalog	updateExternalLocation	O administrador da conta faz uma atualização em uma localização externa.	name_arg owner workspace_id metastore_id
unityCatalog	deleteExternalLocation	O administrador da conta exclui uma localização externa.	name_arg force workspace_id metastore_id
unityCatalog	createCatalog	O usuário cria um catálogo.	name comment workspace_id metastore_id
unityCatalog	deleteCatalog	O usuário exclui um catálogo.	name_arg workspace_id metastore_id
unityCatalog	getCatalog	O usuário solicita os detalhes sobre um catálogo.	name_arg dependent workspace_id metastore_id
unityCatalog	updateCatalog	O usuário atualiza um catálogo.	name_arg isolation_mode comment workspace_id metastore_id
unityCatalog	listCatalog	O usuário faz uma chamada para listar todos os catálogos no metastore.	name_arg workspace_id metastore_id
unityCatalog	createSchema	O usuário cria um esquema.	name catalog_name comment workspace_id metastore_id
unityCatalog	deleteSchema	O usuário exclui um esquema.	full_name_arg force workspace_id metastore_id
unityCatalog	getSchema	O usuário solicita os detalhes sobre um esquema.	full_name_arg dependent workspace_id metastore_id
unityCatalog	listSchema	O usuário solicita uma lista de todos os esquemas em um catálogo.	catalog_name
unityCatalog	updateSchema	O usuário atualiza um esquema.	full_name_arg name workspace_id metastore_id comment
unityCatalog	createStagingTable		name catalog_name schema_name workspace_id metastore_id
unityCatalog	createTable	O usuário cria uma tabela. Os parâmetros de solicitação diferem dependendo do tipo de tabela criada.	name data_source_format catalog_name schema_name storage_location columns dry_run table_type view_dependencies view_definition sql_path comment
unityCatalog	deleteTable	O usuário exclui uma tabela.	full_name_arg workspace_id metastore_id
unityCatalog	getTable	O usuário solicita os detalhes sobre uma tabela.	include_delta_metadata full_name_arg dependent workspace_id metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	O usuário faz uma chamada para listar todas as tabelas em um esquema.	catalog_name schema_name workspace_id metastore_id include_browse
unityCatalog	listTableSummaries	Um usuário obtém uma matriz de resumos de tabelas para um esquema e um catálogo dentro do metastore.	catalog_name schema_name_pattern workspace_id metastore_id
unityCatalog	updateTables	O usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam dependendo do tipo de atualizações de tabela feitas.	full_name_arg table_type table_constraint_list data_source_format columns dependent row_filter storage_location sql_path view_definition view_dependencies owner comment workspace_id metastore_id
unityCatalog	createStorageCredential	O administrador da conta cria uma credencial de armazenamento. Você pode ver um parâmetro de solicitação adicional com base em suas credenciais de provedor de nuvem.	name comment workspace_id metastore_id
unityCatalog	listStorageCredentials	O administrador da conta faz uma chamada para listar todas as credenciais de armazenamento na conta.	workspace_id metastore_id
unityCatalog	getStorageCredential	O administrador da conta solicita os detalhes sobre uma credencial de armazenamento.	name_arg workspace_id metastore_id
unityCatalog	updateStorageCredential	O administrador da conta faz uma atualização em uma credencial de armazenamento.	name_arg owner workspace_id metastore_id
unityCatalog	deleteStorageCredential	O administrador da conta exclui uma credencial de armazenamento.	name_arg workspace_id metastore_id
unityCatalog	generateTemporaryTableCredential	Registrado sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem consultou o quê e quando.	credential_id credential_type credential_kind is_permissions_enforcing_client table_full_name operation table_id workspace_id table_url metastore_id
unityCatalog	generateTemporaryPathCredential	Registrado sempre que uma credencial temporária é concedida para um caminho.	url operation make_path_only_parent credential_kind fallback_enabled workspace_id metastore_id
unityCatalog	checkPathAccess	Registrado sempre que as permissões de usuário são verificadas em busca de determinado caminho.	path fallback_enabled
unityCatalog	getPermissions	O usuário faz uma chamada para obter detalhes de permissão para um objeto protegível. Essa chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente.	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getEffectivePermissions	O usuário faz uma chamada para obter todos os detalhes de permissão de um objeto protegível. Uma chamada de permissões efetivas retorna permissões explicitamente atribuídas e herdadas.	securable_type securable_full_name workspace_id metastore_id
unityCatalog	updatePermissions	O usuário atualiza as permissões em um objeto protegível.	securable_type changes securable_full_name workspace_id metastore_id
unityCatalog	metadataSnapshot	O usuário consulta os metadados de uma versão anterior da tabela.	securables include_delta_metadata workspace_id metastore_id
unityCatalog	metadataAndPermissionsSnapshot	O usuário consulta os metadados e as permissões de uma versão anterior da tabela.	securables include_delta_metadata workspace_id metastore_id
unityCatalog	updateMetadataSnapshot	O usuário atualiza os metadados de uma versão anterior da tabela.	table_list_snapshots schema_list_snapshots workspace_id metastore_id
unityCatalog	getForeignCredentials	O usuário faz uma chamada para obter os detalhes sobre uma chave estrangeira.	securables workspace_id metastore_id
unityCatalog	getInformationSchema	O usuário faz uma chamada para obter os detalhes sobre um esquema.	table_name page_token required_column_names row_set_type required_column_names workspace_id metastore_id
unityCatalog	createConstraint	O usuário cria uma restrição para uma tabela.	full_name_arg constraint workspace_id metastore_id
unityCatalog	deleteConstraint	O usuário exclui uma restrição para uma tabela.	full_name_arg constraint workspace_id metastore_id
unityCatalog	createPipeline	O usuário cria um pipeline do Catálogo do Unity.	target_catalog_name has_workspace_definition id workspace_id metastore_id
unityCatalog	updatePipeline	O usuário atualiza um pipeline do Catálogo do Unity.	id_arg definition_json id workspace_id metastore_id
unityCatalog	getPipeline	O usuário solicita os detalhes sobre um pipeline do Catálogo do Unity.	id workspace_id metastore_id
unityCatalog	deletePipeline	Um usuário exclui um pipeline do Catálogo do Unity.	id workspace_id metastore_id
unityCatalog	deleteResourceFailure	Falha ao excluir o recurso	nenhum
unityCatalog	createVolume	O usuário cria um volume no Unity Catalog.	name catalog_name schema_name volume_type storage_location owner comment workspace_id metastore_id
unityCatalog	getVolume	O usuário faz uma chamada para obter informações sobre um volume do Catálogo do Unity.	volume_full_name workspace_id metastore_id
unityCatalog	updateVolume	O usuário atualiza os metadados de um volume do Catálogo do Unity com as chamadas ALTER VOLUME ou COMMENT ON.	volume_full_name name owner comment workspace_id metastore_id
unityCatalog	deleteVolume	O usuário apaga um volume do Unity Catalog.	volume_full_name workspace_id metastore_id
unityCatalog	listVolumes	O usuário faz uma chamada para obter uma lista de todos os volumes do Catálogo do Unity em um esquema.	catalog_name schema_name workspace_id metastore_id
unityCatalog	generateTemporaryVolumeCredential	Uma credencial temporária é gerada quando um usuário executa uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando.	volume_id volume_full_name operation volume_storage_location credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	getTagSecurableAssignments	As atribuições de rótulo de um protegível são buscadas	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getTagSubentityAssignments	As atribuições de tags para uma subentidade são recuperadas	securable_type securable_full_name workspace_id metastore_id subentity_name
unityCatalog	UpdateTagSecurableAssignments	As atribuições de rótulo de um protegível são atualizadas	securable_type securable_full_name workspace_id metastore_id changes
unityCatalog	UpdateTagSubentityAssignments	As atribuições de tag para uma subentidade são atualizadas.	securable_type securable_full_name workspace_id metastore_id subentity_name changes
unityCatalog	createRegisteredModel	O usuário cria um modelo registrado do Catálogo do Unity.	name catalog_name schema_name owner comment workspace_id metastore_id
unityCatalog	getRegisteredModel	O usuário faz uma chamada para obter informações sobre um modelo registrado do Catálogo do Unity.	full_name_arg workspace_id metastore_id
unityCatalog	updateRegisteredModel	O usuário atualiza os metadados de um modelo registrado do Catálogo do Unity.	full_name_arg name owner comment workspace_id metastore_id
unityCatalog	deleteRegisteredModel	O usuário exclui um modelo registrado do Catálogo do Unity.	full_name_arg workspace_id metastore_id
unityCatalog	listRegisteredModels	O usuário faz uma chamada para obter uma lista de modelos registrados do Catálogo do Unity em um esquema ou listar modelos entre catálogos e esquemas.	catalog_name schema_name max_results page_token workspace_id metastore_id
unityCatalog	createModelVersion	O usuário cria uma versão do modelo no Unity Catalog.	catalog_name schema_name model_name source comment workspace_id metastore_id
unityCatalog	finalizeModelVersion	O usuário realiza uma chamada para "finalizar" uma versão de modelo do Unity Catalog após carregar os arquivos da versão do modelo em seu local de armazenamento, tornando-o somente leitura e utilizável em fluxos de trabalho de inferência.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersion	O usuário faz uma chamada para obter os detalhes sobre uma versão do modelo.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersionByAlias	O usuário faz uma chamada para obter os detalhes sobre uma versão do modelo usando o alias.	full_name_arg include_aliases alias_arg workspace_id metastore_id
unityCatalog	updateModelVersion	O usuário atualiza os metadados de uma versão do modelo.	full_name_arg version_arg name owner comment workspace_id metastore_id
unityCatalog	deleteModelVersion	Usuário exclui uma versão do modelo.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	listModelVersions	Um usuário faz uma chamada para obter uma lista de versões do modelo do Unity Catalog em um modelo registrado.	catalog_name schema_name model_name max_results page_token workspace_id metastore_id
unityCatalog	generateTemporaryModelVersionCredential	Uma credencial temporária é gerada quando um usuário executa uma escrita (durante a criação inicial da versão do modelo) ou uma leitura (depois que a versão foi finalizada) de um modelo. Você pode usar esse evento para determinar quem acessou uma versão de modelo e quando.	full_name_arg version_arg operation model_version_url credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	setRegisteredModelAlias	O usuário define um alias em um modelo registrado do Catálogo do Unity.	full_name_arg alias_arg version
unityCatalog	deleteRegisteredModelAlias	O usuário exclui um alias em um modelo registrado do Unity Catalog.	full_name_arg alias_arg
unityCatalog	getModelVersionByAlias	Um usuário obtém uma versão do modelo do Catálogo do Unity por alias.	full_name_arg alias_arg
unityCatalog	createConnection	Uma nova conexão externa é criada.	name connection_type workspace_id metastore_id
unityCatalog	deleteConnection	Uma conexão externa é excluída.	name_arg workspace_id metastore_id
unityCatalog	getConnection	Uma conexão externa é recuperada.	name_arg workspace_id metastore_id
unityCatalog	updateConnection	Uma conexão externa é atualizada.	name_arg owner workspace_id metastore_id
unityCatalog	listConnections	As conexões externas em um metastore são listadas.	workspace_id metastore_id
unityCatalog	createFunction	O usuário cria uma nova função.	function_info workspace_id metastore_id
unityCatalog	updateFunction	O usuário atualiza uma função.	full_name_arg owner workspace_id metastore_id
unityCatalog	listFunctions	O usuário solicita uma lista de todas as funções em um catálogo ou esquema principal específico.	catalog_name schema_name include_browse workspace_id metastore_id
unityCatalog	getFunction	O usuário solicita uma função de um catálogo ou esquema pai.	full_name_arg workspace_id metastore_id
unityCatalog	deleteFunction	O usuário solicita uma função de um catálogo ou esquema pai.	full_name_arg workspace_id metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	generateTemporaryServiceCredential	Uma credencial temporária é gerada para acessar uma conta de serviço de nuvem do Databricks.	credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	UpdateWorkspaceBindings	Um administrador do metastore ou proprietário do objeto atualiza as associações de espaço de trabalho de um catálogo, local externo ou credencial de armazenamento.	securable_type securable_full_name add: registrado somente quando a associação é atribuída. Inclui uma lista de IDs de espaço de trabalho e o tipo de associação. remove: registrado somente quando uma associação não é atribuída. Inclui IDs dos espaços de trabalho afetados. workspace_id metastore_id

Eventos do Compartilhamento Delta

Observação

Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.

Os eventos de compartilhamento Delta são divididos em duas seções: eventos registrados na conta do provedor de dados e eventos registrados na conta do destinatário de dados.

Para saber como usar registros de auditoria para monitorar eventos de compartilhamento Delta, consulte Auditar e monitorar o compartilhamento de dados.

Eventos do Delta Sharing para provedores

Os eventos de log de auditoria a seguir são registrados na conta do provedor. As ações executadas pelos destinatários começam com o prefixo deltaSharing . Cada um desses logs também inclui request_params.metastore_id, que é o metastore que gerencia os dados compartilhados e userIdentity.email, que é a ID do usuário que iniciou a atividade.

Serviço	Ação	Descrição	Parâmetros da solicitação
unityCatalog	deltaSharingListShares	Um destinatário de dados solicita uma lista de compartilhamentos.	options: as opções de paginação fornecidas com essa solicitação. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetShare	Um destinatário de dados solicita detalhes sobre um compartilhamento.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListSchemas	Um destinatário de dados solicita uma lista de esquemas.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. options: as opções de paginação fornecidas com essa solicitação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllTables	Um destinatário de dados solicita uma lista de todas as tabelas compartilhadas.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListTables	Um destinatário de dados solicita uma lista de tabelas compartilhadas.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. options: as opções de paginação fornecidas com essa solicitação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetTableMetadata	Um destinatário de dados solicita detalhes sobre os metadados de uma tabela.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. schema: o nome do esquema. name: o nome da tabela. predicateHints: os predicados incluídos na consulta. limitHints: o número máximo de linhas a serem retornadas. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetTableVersion	Um destinatário de dados solicita detalhes sobre a versão de uma tabela.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. schema: o nome do esquema. name: o nome da tabela. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryTable	Registrado quando um destinatário de dados consulta uma tabela compartilhada.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. schema: o nome do esquema. name: o nome da tabela. predicateHints: os predicados incluídos na consulta. limitHints: o número máximo de linhas a serem retornadas. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryTableChanges	Registrado quando um destinatário de dados consulta os dados alterados de uma tabela.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. schema: o nome do esquema. name: o nome da tabela. cdf_options: Alterar as opções de feed de dados. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueriedTable	Registrado após um destinatário de dados receber uma resposta à consulta. O response.result campo inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados)	recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueriedTableChanges	Registrado após um destinatário de dados receber uma resposta à consulta. O response.result campo inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados).	recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListNotebookFiles	Um destinatário de dados solicita uma lista de arquivos de notebook compartilhados.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryNotebookFile	Um destinatário de dados consulta um arquivo de notebook compartilhado.	file_name: o nome do arquivo de notebook. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListFunctions	Um destinatário de dados solicita uma lista de funções em um esquema pai.	share: o nome do compartilhamento. schema: o nome do esquema pai da função. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllFunctions	Um destinatário de dados solicita uma lista de todas as funções compartilhadas.	share: o nome do compartilhamento. schema: o nome do esquema pai da função. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListFunctionVersions	Um destinatário de dados solicita uma lista de versões de função.	share: o nome do compartilhamento. schema: o nome do esquema pai da função. function: o nome da função. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListVolumes	Um destinatário de dados solicita uma lista de volumes compartilhados em u esquema.	share: o nome do compartilhamento. schema: o esquema pai dos volumes. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllVolumes	Um destinatário de dados solicita todos os volumes compartilhados.	share: o nome do compartilhamento. recipient_name: indica o destinatário executando a ação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	updateMetastore	O provedor atualiza seu metastore.	delta_sharing_scope: os valores podem ser INTERNAL ou INTERNAL_AND_EXTERNAL. delta_sharing_recipient_token_lifetime_in_seconds: se presente, indica que o tempo de vida do token de destinatário foi atualizado.
unityCatalog	createRecipient	O provedor cria um destinatário de dados.	name: o nome do destinatário. comment: o comentário do destinatário. ip_access_list.allowed_ip_addresses: Lista de endereços IP permitidos do destinatário.
unityCatalog	deleteRecipient	O provedor exclui um destinatário de dados.	name: o nome do destinatário.
unityCatalog	getRecipient	O provedor solicita detalhes sobre um destinatário de dados.	name: o nome do destinatário.
unityCatalog	listRecipients	O provedor solicita uma lista de todos os destinatários de dados.	nenhum
unityCatalog	rotateRecipientToken	O provedor gira o token de um destinatário.	name: o nome do destinatário. comment: o comentário dado no comando de rotação.
unityCatalog	updateRecipient	O provedor atualiza os atributos de um destinatário de dados.	name: o nome do destinatário. updates: uma representação JSON de atributos de destinatário que foram adicionados ou removidos do compartilhamento.
unityCatalog	createShare	O provedor atualiza os atributos de um destinatário de dados.	name: o nome do compartilhamento. comment: o comentário para o compartilhamento.
unityCatalog	deleteShare	O provedor atualiza os atributos de um destinatário de dados.	name: o nome do compartilhamento.
unityCatalog	getShare	O provedor solicita detalhes sobre um compartilhamento.	name: o nome do compartilhamento. include_shared_objects: indica se os nomes da tabela do compartilhamento foram incluídos na solicitação.
unityCatalog	updateShare	O provedor adiciona ou remove ativos de dados de um compartilhamento.	name: o nome do compartilhamento. updates: uma representação JSON de ativos de dados que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover), name (o nome real da tabela), shared_as (o nome com o qual o ativo foi compartilhado, se diferente do nome real) e partition_specification (se uma especificação de partição tiver sido fornecida).
unityCatalog	listShares	O provedor solicita uma lista dos respectivos compartilhamentos.	nenhum
unityCatalog	getSharePermissions	O provedor solicita detalhes sobre as permissões de um compartilhamento.	name: o nome do compartilhamento.
unityCatalog	updateSharePermissions	O provedor atualiza as permissões de um compartilhamento.	name: o nome do compartilhamento. changes: uma representação JSON das permissões atualizadas. Cada alteração inclui principal (o usuário ou o grupo a quem a permissão foi concedida ou revogada), add (a lista de permissões que foram concedidas) e remove (a lista de permissões que foram revogadas).
unityCatalog	getRecipientSharePermissions	O provedor solicita detalhes sobre as permissões de compartilhamento de um destinatário.	name: o nome do compartilhamento.
unityCatalog	getActivationUrlInfo	O provedor solicita detalhes sobre a atividade no link de ativação.	recipient_name: o nome do destinatário que abriu a URL de ativação. is_ip_access_denied: Nenhum, se nenhuma lista de acesso IP estiver configurada. Caso contrário, true se a solicitação foi negada e false se o pedido não foi negado. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	generateTemporaryVolumeCredential	A credencial temporária é gerada para o destinatário acessar um volume compartilhado.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. share_id: a ID do compartilhamento. share_owner: o proprietário do compartilhamento. recipient_name: o nome do destinatário que solicita a credencial. recipient_id: a ID do destinatário. volume_full_name: o nome completo de 3 níveis do volume. volume_id: a ID do volume. volume_storage_location: o caminho da nuvem da raiz do volume. operation: READ_VOLUME ou WRITE_VOLUME. Para compartilhamento de volume, há suporte apenas para READ_VOLUME. credential_id: a ID da credencial. credential_type: o tipo da credencial. O valor é StorageCredential ou ServiceCredential. credential_kind: o método usado para autorizar o acesso. workspace_id: o valor é sempre 0 quando a solicitação é para volumes compartilhados.
unityCatalog	generateTemporaryTableCredential	A credencial temporária é gerada para o destinatário acessar um volume compartilhado.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. share_id: a ID do compartilhamento. share_owner: o proprietário do compartilhamento. recipient_name: o nome do destinatário que solicita a credencial. recipient_id: a ID do destinatário. table_full_name: o nome completo de três níveis da tabela. table_id: a ID da tabela. table_url: o caminho da nuvem da raiz da tabela. operation: READ ou READ_WRITE. credential_id: a ID da credencial. credential_type: o tipo da credencial. O valor é StorageCredential ou ServiceCredential. credential_kind: o método usado para autorizar o acesso. workspace_id: o valor é sempre 0 quando a solicitação é para tabelas compartilhadas.

Eventos do destinatário do Compartilhamento Delta

Os eventos a seguir são registrados na conta do destinatário de dados. Esses eventos registram o acesso de destinatários a ativos de IA e dados compartilhados, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:

• recipient_name: o nome do destinatário no sistema do provedor de dados.
• metastore_id: o nome do metastore no sistema do provedor de dados.
• sourceIPAddress: o endereço IP em que a solicitação foi originada.

Serviço	Ação	Descrição	Parâmetros da solicitação
unityCatalog	deltaSharingProxyGetTableVersion	Um destinatário de dados solicita detalhes em uma versão de tabela compartilhada.	share: o nome do compartilhamento. schema: o nome do esquema pai da tabela. name: o nome da tabela.
unityCatalog	deltaSharingProxyGetTableMetadata	Um destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada.	share: o nome do compartilhamento. schema: o nome do esquema pai da tabela. name: o nome da tabela.
unityCatalog	deltaSharingProxyQueryTable	Um destinatário de dados consulta uma tabela compartilhada.	share: o nome do compartilhamento. schema: o nome do esquema pai da tabela. name: o nome da tabela. limitHints: o número máximo de linhas a serem retornadas. predicateHints: os predicados incluídos na consulta. version: versão da tabela, se a alimentação de dados de alteração estiver habilitada.
unityCatalog	deltaSharingProxyQueryTableChanges	Uma consulta de destinatário de dados altera os dados de uma tabela.	share: o nome do compartilhamento. schema: o nome do esquema pai da tabela. name: o nome da tabela. cdf_options: Alterar as opções de feed de dados.
unityCatalog	createProvider	Um destinatário de dados cria um objeto de provedor.	name: o nome do provedor. comment: o comentário para o provedor.
unityCatalog	updateProvider	Um destinatário de dados atualiza um objeto de provedor.	name: o nome do provedor. updates: uma representação JSON de atributos de provedor que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover) e pode incluir name (o novo nome do provedor), owner (novo proprietário) e comment.
unityCatalog	deleteProvider	Um destinatário de dados exclui um objeto de provedor.	name: o nome do provedor.
unityCatalog	getProvider	Um destinatário de dados solicita detalhes sobre um objeto de provedor.	name: o nome do provedor.
unityCatalog	listProviders	Um destinatário de dados solicita uma lista de provedores.	nenhum
unityCatalog	activateProvider	Um destinatário de dados ativa um objeto de provedor.	name: o nome do provedor.
unityCatalog	listProviderShares	Um destinatário de dados solicita uma lista dos compartilhamentos de um provedor.	name: o nome do provedor.

Eventos adicionais de monitoramento de segurança

Os seguintes recursos habilitam agentes de monitoramento adicionais para recursos de computação do Azure Databricks no plano de computação clássico, por exemplo, VMs para clusters e SQL warehouses profissionais ou clássicos:

• Monitoramento de segurança aprimorado
• Perfil de segurança de conformidade.

Eventos de monitoramento de integridade de arquivos

Os eventos capsule8-alerts-dataplane a seguir são registrados em log no nível de espaço de trabalho.

Serviço	Ação	Descrição	Parâmetros da solicitação
capsule8-alerts-dataplane	Heartbeat	Um evento regular para confirmar que o monitor está ativado. Atualmente, é executado a cada 10 minutos.	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	A memória geralmente é marcada como executável para permitir que códigos mal-intencionados sejam executados quando um aplicativo está sendo explorado. Alerta quando um programa define permissões de memória de pilha ou pilha como executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	Monitora a integridade de arquivos importantes do sistema. Alertas sobre quaisquer alterações não autorizadas nesses arquivos. O Databricks define conjuntos específicos de caminhos do sistema na imagem; esse conjunto de caminhos pode mudar ao longo do tempo.	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	Alterações nas unidades de systemd podem resultar no relaxamento ou na desabilitação dos controles de segurança, ou na instalação de um serviço mal-intencionado. Alertas sempre que um arquivo de unidade systemd é modificado por um programa diferente de systemctl.	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	Falhas repetidas do programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. Alerta quando mais de cinco instâncias de um programa individual falham por falha de segmentação.	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	Como os contêineres geralmente são cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. Alerta quando um arquivo que foi criado ou modificado dentro de 30 minutos é executado em um contêiner.	instanceId
capsule8-alerts-dataplane	New File Executed in Container	A memória geralmente é marcada como executável para permitir que códigos mal-intencionados sejam executados quando um aplicativo está sendo explorado. Alerta quando um programa define permissões de memória de pilha ou pilha como executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	Shells interativos são ocorrências raras na infraestrutura de produção moderna. Alerta quando um shell interativo é iniciado com argumentos comumente usados para shells reversos.	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	Burlar o registro em log de comandos é uma prática comum de invasores, mas também pode indicar que um usuário legítimo está executando ações não autorizadas ou tentando burlar a política. Alerta quando uma alteração no log do histórico de comandos do usuário é detectada, indicando que um usuário está tentando evitar o log de comandos.	instanceId
capsule8-alerts-dataplane	BPF Program Executed	Detecta alguns tipos de backdoors do kernel. O carregamento de um novo programa BPF (Berkeley Packet Filter) pode indicar que um invasor está carregando um rootkit baseado em BPF para obter persistência e evitar a detecção. Alerta quando um processo carrega um novo programa BPF privilegiado, se o processo que já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	Os invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. Alerta quando um módulo do kernel é carregado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	Os invasores podem criar ou renomear binários mal-intencionados para incluir um espaço no final do nome na tentativa de se fazer passar por um programa ou serviço de sistema legítimo. Alerta quando um programa é executado com um espaço após o nome do programa.	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	As explorações de elevação de privilégio do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de raiz sem passar pelos portões padrão das alterações de privilégio. Alerta quando um programa tenta elevar privilégios por meios incomuns. Isso pode emitir alertas falsos positivos em nós com cargas de trabalho significativas.	instanceId
capsule8-alerts-dataplane	Kernel Exploit	As funções de kernel internas não podem ser acessadas por programas regulares e, se chamadas, são um forte indicador de que houve execução de uma exploração de kernel e de que o invasor tem controle total do nó. Alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário.	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP e SMAP são proteções no nível do processador que aumentam a dificuldade de êxito nas explorações de kernel; a desabilitação dessas restrições é uma etapa inicial comum nas explorações de kernel. Alerta quando um programa adultera a configuração SMEP/SMAP do kernel.	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	Alertas quando um programa usa funções de kernel comumente usadas em explorações de escape de contêiner, indicando que um invasor está escalando privilégios de acesso ao contêiner para acesso ao nó.	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	Os contêineres privilegiados têm acesso direto aos recursos do host, o que aumenta o impacto do seu comprometimento. Alertas quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como o kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos.	instanceId
capsule8-alerts-dataplane	Userland Container Escape	Muitos escapes de contêiner coagem o host a executar um binário no contêiner, o que dá ao invasor controle total sobre o nó afetado. Alerta quando um arquivo criado por contêiner é executado de fora de um contêiner.	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	A modificação de certos atributos do AppArmor só pode ocorrer no kernel, o que indica que o AppArmor foi desativado por uma exploração de kernel ou rootkit. Alertas quando o estado do AppArmor é alterado em relação à configuração do AppArmor detectada quando o sensor é iniciado.	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	Os invasores podem tentar desabilitar a imposição de perfis AppArmor como parte do esquema para evitar a detecção. Alerta quando um comando para modificar um perfil AppArmor é executado, se ele não foi executado por um usuário em uma sessão SSH.	instanceId
capsule8-alerts-dataplane	Boot Files Modified	Se não for executada por uma fonte confiável (por exemplo, um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que há um invasor modificando o kernel ou quais são suas opções para obter acesso persistente a um host. Alerta quando são feitas alterações nos arquivos no /boot, indicando a instalação de um novo kernel ou configuração de inicialização.	instanceId
capsule8-alerts-dataplane	Log Files Deleted	A exclusão de log não executada por uma ferramenta de gerenciamento de logs pode indicar que um invasor está tentando remover indicadores de comprometimento. Alertas sobre exclusão de arquivos de log do sistema.	instanceId
capsule8-alerts-dataplane	New File Executed	Os arquivos recém-criados de fontes diferentes de programas de atualização do sistema podem ser brechas de segurança, explorações do kernel ou parte de uma cadeia de exploração. Alerta quando um arquivo que foi criado ou modificado dentro de 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema.	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	A modificação do armazenamento de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, o que permitiria a interceptação do tráfego de rede ou o desvio da verificação da assinatura de código. Alerta quando um armazenamento de certificados da autoridade de certificação do sistema é alterado.	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	A configuração de bits setuid/setgid pode ser usada como um método persistente de elevação de privilégio em um nó. Alerta quando o bit setuid ou setgid é definido em um arquivo com a família chmod de chamadas do sistema.	instanceId
capsule8-alerts-dataplane	Hidden File Created	Os invasores geralmente criam arquivos ocultos para obscurecer conteúdo e ferramentas úteis em um host comprometido. Alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	Os invasores podem modificar utilitários do sistema para executar conteúdo mal-intencionado sempre que esses utilitários forem executados. Alerta quando um utilitário de sistema comum é modificado por um processo não autorizado.	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	Um invasor ou usuário não autorizado pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais para comprometer. Alertas quando ferramentas de programas comuns de varredura de rede são executadas.	instanceId
capsule8-alerts-dataplane	Network Service Created	Os invasores podem iniciar um novo serviço de rede para fornecer acesso fácil a um host após o comprometimento. Alerta quando um programa inicia um novo serviço de rede, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	Um invasor ou usuário não autorizado pode executar comandos de detecção de rede para capturar informações de entrada, PII (informações de identificação pessoal) ou outras informações confidenciais. Alerta quando é executado um programa que permite a captura de rede.	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	O uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. Alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	Os canais de Comando e Controle e os mineradores de criptomoedas geralmente criam conexões de rede de saída em portas incomuns. Alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	Depois de obter acesso a um sistema, um invasor poderá criar um arquivo compactado de arquivos a fim de reduzir o tamanho dos dados para exfiltração. Alerta quando um programa de compactação de dados é executado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Process Injection	O uso de técnicas de injeção de processo geralmente indica que um usuário está depurando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. Alerta quando um programa usa mecanismos de ptrace (depuração) para interagir com outro processo.	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	Os invasores geralmente usam programas de enumeração de conta para determinar seu nível de acesso e ver se outros usuários estão conectados ao nó no momento. Alerta quando um programa associado à enumeração de conta é executado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	A exploração de sistemas de arquivos é um comportamento pós-exploração comum de um invasor que procura credenciais e dados de interesse. Alerta quando um programa associado à enumeração de arquivos e diretórios é executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	Os invasores podem interrogar a rede local e encaminhar informações para identificar hosts e redes adjacentes antes de fazer uma movimentação lateral. Alerta quando um programa associado à enumeração de configuração de rede é executado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	Os invasores geralmente listam programas em execução para identificar a finalidade de um nó e descobrir se existem ferramentas de segurança ou monitoramento. Alerta quando um programa associado à enumeração de processos é executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	Os invasores geralmente executam comandos de enumeração do sistema para determinar versões e recursos do kernel e da distribuição do Linux, geralmente para identificar se o nó apresenta vulnerabilidades específicas. Alerta quando um programa associado à enumeração de informações do sistema é executado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	A modificação de tarefas agendadas é um método comum para estabelecer persistência em um nó comprometido. Alerta quando os comandos crontab, at ou batch são usados para modificar configurações de tarefas agendadas.	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	Alterações nas unidades de systemd podem resultar no relaxamento ou na desabilitação dos controles de segurança, ou na instalação de um serviço mal-intencionado. Alerta quando o comando systemctl é usado para modificar unidades systemd.	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	O escalonamento explícito para o usuário raiz diminui a capacidade de correlacionar a atividade privilegiada com um usuário específico. Alerta quando o comando su é executado.	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	Alerta quando o comando sudo é executado.	instanceId
capsule8-alerts-dataplane	User Command History Cleared	A exclusão do arquivo de histórico é incomum, geralmente executada por invasores que ocultam atividades ou por usuários legítimos que pretendem enganar os controles de auditoria. Alerta quando os arquivos de histórico da linha de comando são excluídos.	instanceId
capsule8-alerts-dataplane	New System User Added	Um invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. Alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento de conta local /etc/passwd, se a entidade não for adicionada por um programa de atualização do sistema.	instanceId
capsule8-alerts-dataplane	Password Database Modification	Os invasores podem modificar diretamente arquivos relacionados à identidade para adicionar um novo usuário ao sistema. Alerta quando um arquivo relacionado a senhas de usuário é modificado por um programa não relacionado à atualização de informações de usuário existentes.	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	A adição de uma nova chave pública SSH é um método comum para obter acesso persistente a um host comprometido. Alertas são emitidos quando se observa uma tentativa de gravar no arquivo SSH authorized_keys de um usuário, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	A adição de um novo usuário é uma etapa comum usada pelos invasores para estabelecer persistência em um nó comprometido. Alerta quando um programa de gerenciamento de identidades é executado por um programa diferente de um gerenciador de pacotes.	instanceId
capsule8-alerts-dataplane	User Configuration Changes	A exclusão do arquivo de histórico é incomum, geralmente executada por invasores que ocultam atividades ou por usuários legítimos que pretendem enganar os controles de auditoria. Alerta quando os arquivos de histórico da linha de comando são excluídos.	instanceId
capsule8-alerts-dataplane	New System User Added	Os arquivos de perfil e configuração do usuário são frequentemente modificados como método de persistência para executar um programa sempre que um usuário faz logon. Alerta quando .bash_profile e bashrc (e seus arquivos relacionados) são modificados por um programa que não seja uma ferramenta de atualização do sistema.	instanceId

Eventos de monitoramento de antivírus

Observação

O objeto JSON response nesses logs de auditoria sempre tem um campo result que inclui uma linha do resultado do exame original. Cada resultado da varredura é representado normalmente por vários registros de log de auditoria, um para cada linha da saída da varredura original. Para obter detalhes do que pode aparecer nesse arquivo, consulte a seguinte documentação de terceiros.

O evento clamAVScanService-dataplane a seguir é registrado em log no nível do workspace.

Serviço	Ação	Descrição	Parâmetros da solicitação
clamAVScanService-dataplane	clamAVScanAction	O monitoramento antivírus realiza uma varredura. Um log será gerado para cada linha da saída da verificação original.	instanceId

Eventos de log obsoletos

O Databricks descontinuou os seguintes eventos de diagnóstico databrickssql:

• createAlertDestination (agora createNotificationDestination)
• deleteAlertDestination (agora deleteNotificationDestination)
• updateAlertDestination (agora updateNotificationDestination)
• muteAlert
• unmuteAlert

Logs de ponto de extremidade SQL

Se você criar SQL warehouses usando a API de ponto de extremidade DO SQL preterida (o nome anterior dos SQL warehouses), o nome do evento de auditoria correspondente incluirá a palavra Endpoint em vez de Warehouse. Além do nome, esses eventos são idênticos aos eventos do SQL Warehouse. Para exibir descrições e solicitar parâmetros desses eventos, consulte seus eventos de warehouse correspondentes em eventos SQL do Databricks.

Os eventos do ponto de extremidade SQL são:

• changeEndpointAcls
• createEndpoint
• editEndpoint
• startEndpoint
• stopEndpoint
• deleteEndpoint
• setEndpointConfig