Справочник по журналу диагностики
Примечание.
Для этой функции требуется план "Премиум".
В этой статье представлен полный справочник по доступным службам журналов аудита и событиям. Понимая, какие события регистрируются в журналах диагностики, ваше предприятие может отслеживать подробные шаблоны использования Azure Databricks в вашей учетной записи.
Самый простой способ доступа и запроса журналов аудита учетной записи — использование системных таблиц (общедоступная предварительная версия).
Если вы хотите настроить обычную доставку журналов, см. статью "Настройка доставки журналов диагностики".
Azure Databricks сохраняет копию журналов аудита до 1 года для целей анализа безопасности и мошенничества.
Службы журналов диагностики
Следующие службы и их события регистрируются по умолчанию в журналах диагностики.
Службы уровня рабочей области
| Service name | Description |
|---|---|
| Счета | События, связанные с учетными записями, пользователями, группами и списками доступа к IP-адресам. |
| Кластеров | События, связанные с кластерами. |
| clusterPolicies | События, связанные с политиками кластера. |
| Панели мониторинга | События, связанные с использованием панели мониторинга Lakeview. |
| databrickssql | События, связанные с использованием Databricks SQL. |
| dbfs | События, связанные с DBFS. |
| deltaPipelines | События, связанные с конвейерами Delta Live Table. |
| featureStore | События, связанные с хранилищем признаков Databricks. |
| filesystem | События, связанные с API файлов. |
| Джинн | События, связанные с доступом к рабочей области сотрудниками службы поддержки. |
| gitCredentials | События, связанные с учетными данными Git для папок Databricks Git. См. также repos. |
| globalInitScripts | События, связанные с глобальными скриптами инициализации. |
| Группы | События, связанные с группами учетных записей и рабочих областей. |
| Приеме внутрь | События, связанные с отправкой файлов. |
| instancePools | События, связанные с пулами. |
| jobs | События, связанные с заданиями. |
| MarketplaceConsumer | События, связанные с действиями потребителей в Databricks Marketplace. |
| MarketplaceProvider | События, связанные с действиями поставщика в Databricks Marketplace. |
| mlflowAcledArtifact | События, связанные с артефактами ML Flow с ACL. |
| mlflowExperiment | События, связанные с экспериментами ML Flow. |
| ModelRegistry | События, связанные с реестром моделей. |
| Ноутбука | События, связанные с записными книжками. |
| партнер Подключение | События, связанные с Подключение партнера. |
| remoteHistoryService | События, связанные с добавлением удаленных учетных данных GitHub. |
| Repos | События, связанные с папками Databricks Git. См. также gitCredentials. |
| Секреты | События, связанные с секретами. |
| бессервернаяrealTimeInference | События, связанные с обслуживанием модели. |
| sqlPermissions | События, связанные с устаревшим контролем доступа к таблицам хранилища метаданных Hive. |
| ssh | События, связанные с доступом SSH. |
| webTerminal | События, связанные с функцией веб-терминала . |
| рабочая область | События, связанные с рабочими областями. |
Службы уровня учетной записи
Журналы аудита на уровне учетной записи доступны для этих служб:
| Service name | Description |
|---|---|
| accountBillableUsage | Действия, связанные с доступом к оплачиваемому использованию в консоли учетной записи. |
| accountsAccessControl | Действия, связанные с правилами управления доступом на уровне учетной записи. |
| accountsManager | Действия, связанные с конфигурациями сетевого подключения. |
| unityCatalog | Действия, выполняемые в каталоге Unity. Это также включает события разностного общего доступа, см. сведения о событиях разностного общего доступа. |
Дополнительные службы мониторинга безопасности
Существуют дополнительные службы и связанные действия для рабочих областей, использующих профиль безопасности соответствия (необходимые для некоторых стандартов соответствия, таких как FedRAMP, PCI и HIPAA) или расширенный мониторинг безопасности.
Это службы уровня рабочей области, которые будут создаваться только в журналах, если вы используете профиль безопасности соответствия или расширенный мониторинг безопасности:
| Service name | Description |
|---|---|
| capsule8-alerts-dataplane | Действия, связанные с мониторингом целостности файлов. |
| clamAVScanService-dataplanel | Действия, связанные с антивирусным мониторингом. |
| monit | Действия, связанные с монитором процессов. |
| Syslog | Действия, связанные с системными журналами. |
Схема журнала диагностики
В Azure Databricks журналы диагностики выводируют события в формате JSON. В Azure Databricks журналы аудита выводируют события в формате JSON. Свойства serviceName идентифицируют actionName событие. Соглашение об именовании следует REST API Databricks.
Следующий пример JSON является примером события, зарегистрированного при создании задания пользователем:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Рекомендации по схеме журнала диагностики
- Если действия выполняются долго, запрос и ответ регистрируются отдельно, но пара запросов и ответов совпадают
requestId. - Автоматические действия, такие как изменение размера кластера из-за автомасштабирования или запуска задания из-за планирования, выполняются пользователем
System-User. - Поле
requestParamsподлежит усечению. Если размер представления JSON превышает 100 КБ, значения усекаются, а строка... truncatedдобавляется к усеченным записям. В редких случаях, когда усеченное сопоставление по-прежнему больше 100 КБ, вместо него будет указан один ключTRUNCATEDс пустым значением.
События учетной записи
Ниже перечислены accounts события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в рабочей области". | * targetUserName* endpoint* targetUserId |
accounts |
aadBrowserLogin |
Пользователь входит в Databricks с помощью токена Microsoft Entra ID (ранее Azure Active Directory). | * user |
accounts |
aadTokenLogin |
Пользователь входит в Databricks с помощью рабочего процесса браузера Microsoft Entra ID (ранее Azure Active Directory). | * user |
accounts |
accountInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности. | * endpoint |
accounts |
activateUser |
Администратор добавляет пользователя в учетную запись Databricks из портал Azure. | * warehouse* targetUserName* targetUserId |
accounts |
add |
Пользователь добавляется в рабочую область Azure Databricks. | * targetUserName* endpoint* targetUserId |
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня рабочей области. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
changeDatabricksSqlAcl |
Изменяются разрешения SQL пользователя Databricks. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Разрешения для рабочей области изменяются. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeDbTokenAcl |
При изменении разрешений маркера. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeServicePrincipalAcls |
При изменении разрешений субъекта-службы. | * shardName* targetServicePrincipal* resourceId* aclPermissionSet |
accounts |
createGroup |
Создается группа уровня рабочей области. | * endpoint* targetGroupId* targetGroupName |
accounts |
createIpAccessList |
Список доступа к IP-адресам добавляется в рабочую область. | * ipAccessListId* userId |
accounts |
deactivateUser |
Пользователь деактивирован в рабочей области. См. раздел "Отключить пользователей в рабочей области". | * targetUserName* endpoint* targetUserId |
accounts |
delete |
Пользователь удаляется из рабочей области Azure Databricks. | * targetUserId* targetUserName* endpoint |
accounts |
deleteIpAccessList |
Список доступа к IP-адресам удаляется из рабочей области. | * ipAccessListId* userId |
accounts |
garbageCollectDbToken |
Пользователь запускает команду сбора мусора на маркерах с истекшим сроком действия. | * tokenExpirationTime* tokenClientId* userId* tokenCreationTime* tokenFirstAccessed |
accounts |
generateDbToken |
Когда пользователь создает маркер из пользовательского Параметры или когда служба создает маркер. | * tokenExpirationTime* tokenCreatedBy* tokenHash* userId |
accounts |
IpAccessDenied |
Пользователь пытается подключиться к службе через запрещенный IP-адрес. | * path* userName |
accounts |
ipAccessListQuotaExceeded |
* userId |
|
accounts |
jwtLogin |
Пользователь входит в Databricks с помощью JWT. | * user |
accounts |
login |
Пользователь входит в рабочую область. | * user |
accounts |
logout |
Пользователь выходит из рабочей области. | * user |
accounts |
oidcTokenAuthorization |
Когда вызов API авторизован через универсальный токен OIDC/OAuth. | * user |
accounts |
passwordVerifyAuthentication |
* user |
|
accounts |
reachMaxQuotaDbToken |
Если текущее число неисчисленных маркеров превышает квоту маркера | |
accounts |
removeAdmin |
Пользователь отменяет разрешения администратора рабочей области. | * targetUserName* endpoint* targetUserId |
accounts |
removeGroup |
Группа удаляется из рабочей области. | * targetGroupId* targetGroupName* endpoint |
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
revokeDbToken |
Маркер пользователя удаляется из рабочей области. Может быть активирован пользователем, удаленным из учетной записи Databricks. | * userId |
accounts |
setAdmin |
Пользователю предоставляются разрешения администратора учетной записи. | * endpoint* targetUserName* targetUserId |
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью маркера. | * tokenId* user |
accounts |
updateIpAccessList |
Список доступа к IP-адресам изменен. | * ipAccessListId* userId |
accounts |
updateUser |
Изменение выполняется в учетной записи пользователя. | * warehouse* targetUserName* targetUserId |
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. | * endpoint* targetUserName* targetUserId |
События кластеров
Ниже перечислены cluster события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
clusters |
changeClusterAcl |
Пользователь изменяет список ACL кластера. | * shardName* aclPermissionSet* targetUserId* resourceId |
clusters |
create |
Пользователь создает кластер. | * cluster_log_conf* num_workers* enable_elastic_disk* driver_node_type_id* start_cluster* docker_image* ssh_public_keys* aws_attributes* acl_path_prefix* node_type_id* instance_pool_id* spark_env_vars* init_scripts* spark_version* cluster_source* autotermination_minutes* cluster_name* autoscale* custom_tags* cluster_creator* enable_local_disk_encryption* idempotency_token* spark_conf* organization_id* no_driver_daemon* user_id* virtual_cluster_size* apply_policy_default_values* data_security_mode |
clusters |
createResult |
Результаты создания кластера. В сочетании с create. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
delete |
Кластер завершается. | * cluster_id |
clusters |
deleteResult |
Результаты завершения кластера. В сочетании с delete. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
edit |
Пользователь вносит изменения в параметры кластера. В этом журнале регистрируются все изменения, кроме изменений в размере кластера или поведении автомасштабирования. | * cluster_log_conf* num_workers* enable_elastic_disk* driver_node_type_id* start_cluster* docker_image* ssh_public_keys* aws_attributes* acl_path_prefix* node_type_id* instance_pool_id* spark_env_vars* init_scripts* spark_version* cluster_source* autotermination_minutes* cluster_name* autoscale* custom_tags* cluster_creator* enable_local_disk_encryption* idempotency_token* spark_conf* organization_id* no_driver_daemon* user_id* virtual_cluster_size* apply_policy_default_values* data_security_mode |
clusters |
permanentDelete |
Кластер удаляется из пользовательского интерфейса. | * cluster_id |
clusters |
resize |
Изменение размера кластера. Он регистрируется в запущенных кластерах, где единственным свойством, которое изменяется, является размер кластера или поведение автомасштабирования. | * cluster_id* num_workers* autoscale |
clusters |
resizeResult |
Результаты изменения размера кластера. В сочетании с resize. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
restart |
Пользователь перезапускает запущенный кластер. | * cluster_id |
clusters |
restartResult |
Результаты перезапуска кластера. В сочетании с restart. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
start |
Пользователь запускает кластер. | * init_scripts_safe_mode* cluster_id |
clusters |
startResult |
Результаты из запуска кластера. В сочетании с start. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
События библиотек кластера
Ниже перечислены clusterLibraries события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
clusterLibraries |
installLibraries |
Пользователь устанавливает библиотеку в кластере. | * cluster_id* libraries |
clusterLibraries |
uninstallLibraries |
Пользователь удаляет библиотеку в кластере. | * cluster_id* libraries |
clusterLibraries |
installLibraryOnAllClusters |
Администратор рабочей области планирует установку библиотеки во всех кластерах. | * user* library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Администратор рабочей области удаляет библиотеку из списка для установки во всех кластерах. | * user* library |
События политики кластера
Ниже перечислены clusterPolicies события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
clusterPolicies |
create |
Пользователь создал политику кластера. | * name |
clusterPolicies |
edit |
Пользователь редактировал политику кластера. | * policy_id* name |
clusterPolicies |
delete |
Пользователь удалил политику кластера. | * policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Администратор рабочей области изменяет разрешения для политики кластера. | * shardName* targetUserId* resourceId* aclPermissionSet |
События панелей мониторинга
Ниже перечислены dashboards события, зарегистрированные на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
dashboards |
createDashboard |
Пользователь создает панель мониторинга Lakeview с помощью пользовательского интерфейса или API. | * dashboard_id |
dashboards |
updateDashboard |
Пользователь обновляет панель мониторинга Lakeview с помощью пользовательского интерфейса или API. | * dashboard_id |
dashboards |
cloneDashboard |
Пользователь клонирует панель мониторинга Lakeview. | * source_dashboard_id* new_dashboard_id |
dashboards |
publishDashboard |
Пользователь публикует панель мониторинга Lakeview с внедренными учетными данными или без нее с помощью пользовательского интерфейса или API. | * dashboard_id* credentials_embedded* warehouse_id |
dashboards |
unpublishDashboard |
Пользователь отменяет публикацию опубликованной панели мониторинга Lakeview с помощью пользовательского интерфейса или API. | * dashboard_id |
dashboards |
trashDashboard |
Пользователь перемещает панель мониторинга Lakeview в корзину с помощью пользовательского интерфейса или API. | * dashboard_id |
dashboards |
restoreDashboard |
Пользователь восстанавливает панель мониторинга Lakeview из корзины. | * dashboard_id |
dashboards |
migrateDashboard |
Пользователь переносит панель мониторинга DBSQL на панель мониторинга Lakeview. | * source_dashboard_id* new_dashboard_id |
dashboards |
createSchedule |
Пользователь создает расписание подписки электронной почты. | * dashboard_id* schedule_id |
dashboards |
updateSchedule |
Пользователь обновляет расписание панели мониторинга Lakeview. | * dashboard_id* schedule_id |
dashboards |
deleteSchedule |
Пользователь удаляет расписание панели мониторинга Lakeview. | * dashboard_id* schedule_id |
dashboards |
createSubscription |
Пользователь подписывает назначение электронной почты на расписание панели мониторинга Lakeview. | * dashboard_id* schedule_id* schedule |
dashboards |
deleteSubscription |
Пользователь удаляет назначение электронной почты из расписания панели мониторинга Lakeview. | * dashboard_id* schedule_id |
События Databricks SQL
Ниже перечислены databrickssql события, зарегистрированные на уровне рабочей области.
Примечание.
Если вы управляете хранилищами SQL с помощью устаревшего API конечных точек SQL, события аудита хранилища SQL будут иметь разные имена действий. См . журналы конечных точек SQL.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Мини-приложение добавляется на панель мониторинга. | * dashboardId* widgetId |
databrickssql |
cancelQueryExecution |
Выполнение запроса отменено из пользовательского интерфейса редактора SQL. Это не включает отмены, исходящие из пользовательского интерфейса журнала запросов или API выполнения SQL Databricks. | * queryExecutionId |
databrickssql |
changeWarehouseAcls |
Диспетчер хранилища обновляет разрешения на хранилище SQL. | * aclPermissionSet* resourceId* shardName* targetUserId |
databrickssql |
changePermissions |
Пользователь обновляет разрешения для объекта. | * granteeAndPermission* objectId* objectType |
databrickssql |
cloneDashboard |
Пользователь клонирует панель мониторинга. | * dashboardId |
databrickssql |
commandSubmit |
Только в подробных журналах аудита. Создается при отправке команды в хранилище SQL независимо от происхождения запроса. | * warehouseId* commandId* validation* commandText |
databrickssql |
commandFinish |
Только в подробных журналах аудита. Создается при завершении или отмене команды в хранилище SQL независимо от источника запроса на отмену. | * warehouseId* commandId |
databrickssql |
createAlert |
Пользователь создает оповещение. | * alertId |
databrickssql |
createNotificationDestination |
Администратор рабочей области создает назначение уведомления. | * notificationDestinationId* notificationDestinationType |
databrickssql |
createDashboard |
Пользователь создает панель мониторинга. | * dashboardId |
databrickssql |
createDataPreviewDashboard |
Пользователь создает панель мониторинга предварительного просмотра данных. | * dashboardId |
databrickssql |
createWarehouse |
Пользователь с правами создания кластера создает хранилище SQL. | * auto_resume* auto_stop_mins* channel* cluster_size* conf_pairs* custom_cluster_confs* enable_databricks_compute* enable_photon* enable_serverless_compute* instance_profile_arn* max_num_clusters* min_num_clusters* name* size* spot_instance_policy* tags* test_overrides |
databrickssql |
createQuery |
Пользователь создает запрос, сохраняя черновик запроса. | * queryId |
databrickssql |
createQueryDraft |
Пользователь создает черновик запроса. | * queryId |
databrickssql |
createQuerySnippet |
Пользователь создает фрагмент запроса. | * querySnippetId |
databrickssql |
createSampleDashboard |
Пользователь создает пример панели мониторинга. | * sampleDashboardId |
databrickssql |
createVisualization |
Пользователь создает визуализацию с помощью редактора SQL. Исключает таблицы результатов и визуализации по умолчанию в записных книжках, использующих хранилища SQL. | * queryId* visualizationId |
databrickssql |
deleteAlert |
Пользователь удаляет оповещение из интерфейса генерации оповещений или через API. Исключает удаление из пользовательского интерфейса браузера файлов. | * alertId |
databrickssql |
deleteNotificationDestination |
Администратор рабочей области удаляет назначение уведомления. | * notificationDestinationId |
databrickssql |
deleteDashboard |
Пользователь удаляет панель мониторинга из интерфейса панели мониторинга или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. | * dashboardId |
databrickssql |
deleteDashboardWidget |
Пользователь удаляет мини-приложение панели мониторинга. | * widgetId |
databrickssql |
deleteWarehouse |
Диспетчер склада удаляет хранилище SQL. | * id |
databrickssql |
deleteQuery |
Пользователь удаляет запрос из интерфейса запроса или через API. Исключает удаление с помощью пользовательского интерфейса браузера файлов. | * queryId |
databrickssql |
deleteQueryDraft |
Пользователь удаляет черновик запроса. | * queryId |
databrickssql |
deleteQuerySnippet |
Пользователь удаляет фрагмент запроса. | * querySnippetId |
databrickssql |
deleteVisualization |
Пользователь удаляет визуализацию из запроса в редакторе SQL. | * visualizationId |
databrickssql |
downloadQueryResult |
Пользователь загружает результат запроса из редактора SQL. Исключает скачивание с панелей мониторинга. | * fileType* queryId* queryResultId |
databrickssql |
editWarehouse |
Диспетчер склада вносит изменения в хранилище SQL. | * auto_stop_mins* channel* cluster_size* confs* enable_photon* enable_serverless_compute* id* instance_profile_arn* max_num_clusters* min_num_clusters* name* spot_instance_policy* tags |
databrickssql |
executeAdhocQuery |
Создается одним из следующих элементов: * Пользователь запускает черновик запроса в редакторе SQL * Запрос выполняется из агрегирования визуализации * Пользователь загружает панель мониторинга и выполняет базовые запросы |
* dataSourceId |
databrickssql |
executeSavedQuery |
Пользователь запускает сохраненный запрос. | * queryId |
databrickssql |
executeWidgetQuery |
Создается любым событием, выполняющим запрос, таким образом, что панель мониторинга обновляется. Ниже приведены некоторые примеры применимых событий: * Обновление одной панели * Обновление всей панели мониторинга * Запланированные выполнения панели мониторинга * Изменение параметров или фильтров, работающих более чем на 64 000 строк |
* widgetId |
databrickssql |
favoriteDashboard |
Пользователь любит панель мониторинга. | * dashboardId |
databrickssql |
favoriteQuery |
Пользователь предпочитает запрос. | * queryId |
databrickssql |
forkQuery |
Пользователь клонирует запрос. | * originalQueryId* queryId |
databrickssql |
listQueries |
Пользователь открывает страницу описания запросов или вызывает API запросов списка. | * filter_by* include_metrics* max_results* page_token |
databrickssql |
moveDashboardToTrash |
Пользователь перемещает панель мониторинга в корзину. | * dashboardId |
databrickssql |
moveQueryToTrash |
Пользователь перемещает запрос в корзину. | * queryId |
databrickssql |
muteAlert |
Пользователь отключает оповещение через API. | * alertId |
databrickssql |
restoreDashboard |
Пользователь восстанавливает панель мониторинга из корзины. | * dashboardId |
databrickssql |
restoreQuery |
Пользователь восстанавливает запрос из корзины. | * queryId |
databrickssql |
setWarehouseConfig |
Диспетчер склада задает конфигурацию для хранилища SQL. | * data_access_config* enable_serverless_compute* instance_profile_arn* security_policy* serverless_agreement* sql_configuration_parameters* try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Пользователь запрашивает моментальный снимок панели мониторинга. Включает запланированные моментальные снимки панели мониторинга. | * dashboardId |
databrickssql |
startWarehouse |
Запущено хранилище SQL. | * id |
databrickssql |
stopWarehouse |
Диспетчер склада останавливает хранилище SQL. Исключает автоматическое заполнение складов. | * id |
databrickssql |
transferObjectOwnership |
Администратор рабочей области передает права владения панели мониторинга, запроса или оповещения активному пользователю. | * newOwner* objectId* objectType |
databrickssql |
unfavoriteDashboard |
Пользователь удаляет панель мониторинга из избранного. | * dashboardId |
databrickssql |
unfavoriteQuery |
Пользователь удаляет запрос из избранного. | * queryId |
databrickssql |
unmuteAlert |
Пользователь отменяет оповещение через API | * alertId. |
databrickssql |
updateAlert |
Пользователь обновляет оповещение. | * alertId* queryId |
databrickssql |
updateNotificationDestination |
Администратор рабочей области выполняет обновление до назначения уведомления. | * notificationDestinationId |
databrickssql |
updateDashboardWidget |
Пользователь обновляет мини-приложение панели мониторинга. Исключает изменения масштабирования осей. Примеры применимых обновлений: * Изменение размера мини-приложения или размещения * Добавление или удаление параметров мини-приложения |
* widgetId |
databrickssql |
updateDashboard |
Пользователь вносит обновление в свойство панели мониторинга. Исключает изменения расписаний и подписок. Примеры применимых обновлений: * Изменение имени панели мониторинга * Изменение в хранилище SQL * Изменение параметров запуска от имени |
* dashboardId |
databrickssql |
updateOrganizationSetting |
Администратор рабочей области обновляет параметры SQL рабочей области. | * has_configured_data_access* has_explored_sql_warehouses* has_granted_permissions |
databrickssql |
updateQuery |
Пользователь вносит обновление в запрос. | * queryId |
databrickssql |
updateQueryDraft |
Пользователь вносит обновление в черновик запроса. | * queryId |
databrickssql |
updateQuerySnippet |
Пользователь выполняет обновление фрагмента запроса. | * querySnippetId |
databrickssql |
updateVisualization |
Пользователь обновляет визуализацию из редактора SQL или панели мониторинга. | * visualizationId |
События DBFS
В следующие таблицы входят dbfs события, зарегистрированные на уровне рабочей области.
Существует два типа событий DBFS: вызовы API и операционные события.
События API DBFS
Следующие события аудита DBFS регистрируются только при записи с помощью REST API DBFS.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
dbfs |
addBlock |
Пользователь добавляет блок данных в поток. Это используется в сочетании с dbfs/create для потоковой передачи данных в DBFS. | * handle* data_length |
dbfs |
create |
Пользователь открывает поток для записи файла в DBFs. | * path* bufferSize* overwrite |
dbfs |
delete |
Пользователь удаляет файл или каталог из СУБД. | * recursive* path |
dbfs |
mkdirs |
Пользователь создает новый каталог DBFS. | * path |
dbfs |
move |
Пользователь перемещает файл из одного расположения в другое расположение в DBFs. | * dst* source_path* src* destination_path |
dbfs |
put |
Пользователь отправляет файл с помощью многопартийной записи формы в DBFs. | * path* overwrite |
Операционные события DBFS
В плоскости вычислений происходят следующие события аудита DBFS.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
dbfs |
mount |
Пользователь создает точку подключения в определенном расположении DBFS. | * mountPoint* owner |
dbfs |
unmount |
Пользователь удаляет точку подключения в определенном расположении DBFS. | * mountPoint |
События разностных конвейеров
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Пользователь изменяет разрешения на конвейер. | * shardId* targetUserId* resourceId* aclPermissionSet |
deltaPipelines |
create |
Пользователь создает конвейер Delta Live Tables. | * allow_duplicate_names* clusters* configuration* continuous* development* dry_run* id* libraries* name* storage* target* channel* edition* photon |
deltaPipelines |
delete |
Пользователь удаляет конвейер Delta Live Tables. | * pipeline_id |
deltaPipelines |
edit |
Пользователь изменяет конвейер Delta Live Tables. | * allow_duplicate_names* clusters* configuration* continuous* development* expected_last_modified* id* libraries* name* pipeline_id* storage* target* channel* edition* photon |
deltaPipelines |
startUpdate |
Пользователь перезапускает конвейер Delta Live Tables. | * cause* full_refresh* job_task* pipeline_id |
deltaPipelines |
stop |
Пользователь останавливает конвейер Delta Live Tables. | * pipeline_id |
События хранилища компонентов
featureStore Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
featureStore |
addConsumer |
Потребитель добавляется в хранилище компонентов. | * features* job_run* notebook |
featureStore |
addDataSources |
Источник данных добавляется в таблицу компонентов. | * feature_table* paths, tables |
featureStore |
addProducer |
Производитель добавляется в таблицу признаков. | * feature_table* job_run* notebook |
featureStore |
changeFeatureTableAcl |
Разрешения изменяются в таблице компонентов. | * aclPermissionSet* resourceId* shardName* targetUserId |
featureStore |
createFeatureTable |
Создается таблица признаков. | * description* name* partition_keys* primary_keys* timestamp_keys |
featureStore |
createFeatures |
Компоненты создаются в таблице компонентов. | * feature_table* features |
featureStore |
deleteFeatureTable |
Удаляется таблица компонентов. | * name |
featureStore |
deleteTags |
Теги удаляются из таблицы компонентов. | * feature_table_id* keys |
featureStore |
getConsumers |
Пользователь вызывает получение потребителей в таблице признаков. | * feature_table |
featureStore |
getFeatureTable |
Пользователь вызывает таблицы компонентов. | * name |
featureStore |
getFeatureTablesById |
Пользователь вызывает идентификаторы таблиц компонентов. | * ids |
featureStore |
getFeatures |
Пользователь вызывает функции. | * feature_table* max_results |
featureStore |
getModelServingMetadata |
Пользователь вызывает получение метаданных службы модели. | * feature_table_features |
featureStore |
getOnlineStore |
Пользователь вызывает сведения о интернет-магазине. | * cloud* feature_table* online_table* store_type |
featureStore |
getTags |
Пользователь вызывает получение тегов для таблицы компонентов. | * feature_table_id |
featureStore |
publishFeatureTable |
Опубликована таблица признаков. | * cloud* feature_table* host* online_table* port* read_secret_prefix* store_type* write_secret_prefix |
featureStore |
searchFeatureTables |
Пользователь ищет таблицы компонентов. | * max_results* page_token* text |
featureStore |
setTags |
Теги добавляются в таблицу компонентов. | * feature_table_id* tags |
featureStore |
updateFeatureTable |
Обновляется таблица компонентов. | * description* name |
События API файлов
filesystem Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
filesystem |
filesGet |
Пользователь скачивает файл. | * path* transferredSize |
filesystem |
filesPut |
Пользователь отправляет файл. | * path* receivedSize |
filesystem |
filesDelete |
Пользователь удаляет файл. | * path |
filesystem |
filesHead |
Пользователь получает сведения о файле. | * path |
События Genie
genie Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
genie |
databricksAccess |
Персонал Databricks может получить доступ к клиентской среде. | * duration* approver* reason* authType* user |
События учетных данных Git
gitCredentials Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
gitCredentials |
getGitCredential |
Пользователь получает учетные данные Git. | * id |
gitCredentials |
listGitCredentials |
Пользователь перечисляет все учетные данные Git | ничего |
gitCredentials |
deleteGitCredential |
Пользователь удаляет учетные данные Git. | * id |
gitCredentials |
updateGitCredential |
Пользователь обновляет учетные данные Git. | * id* git_provider* git_username |
gitCredentials |
createGitCredential |
Пользователь создает учетные данные Git. | * git_provider* git_username |
События глобальных сценариев инициализации
globalInitScripts Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
globalInitScripts |
create |
Администратор рабочей области создает скрипт глобальной инициализации. | * name* position* script-SHA256* enabled |
globalInitScripts |
update |
Администратор рабочей области обновляет скрипт глобальной инициализации. | * script_id* name* position* script-SHA256* enabled |
globalInitScripts |
delete |
Администратор рабочей области удаляет скрипт глобальной инициализации. | * script_id |
Группы событий
groups Следующие события регистрируются на уровне рабочей области. Эти действия связаны с устаревшими группами ACL. Действия, связанные с группами на уровне учетной записи и рабочей области, см. в разделе "События учетной записи" и "События учетной записи уровня учетной записи".
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
groups |
addPrincipalToGroup |
Администратор добавляет пользователя в группу. | * user_name* parent_name |
groups |
createGroup |
Администратор создает группу. | * group_name |
groups |
getGroupMembers |
Члены группы представлений администраторов. | * group_name |
groups |
getGroups |
Администратор просматривает список групп | ничего |
groups |
getInheritedGroups |
Наследуемые группы представления администратора | ничего |
groups |
removeGroup |
Администратор удаляет группу. | * group_name |
События приема
ingestion Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
ingestion |
proxyFileUpload |
Пользователь отправляет файл в рабочую область Azure Databricks. | * x-databricks-content-length-0* x-databricks-total-files |
События пула экземпляров
instancePools Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Пользователь изменяет разрешения пула экземпляров. | * shardName* resourceId* targetUserId* aclPermissionSet |
instancePools |
create |
Пользователь создает пул экземпляров. | * enable_elastic_disk* preloaded_spark_versions* idle_instance_autotermination_minutes* instance_pool_name* node_type_id* custom_tags* max_capacity* min_idle_instances* aws_attributes |
instancePools |
delete |
Пользователь удаляет пул экземпляров. | * instance_pool_id |
instancePools |
edit |
Пользователь изменяет пул экземпляров. | * instance_pool_name* idle_instance_autotermination_minutes* min_idle_instances* preloaded_spark_versions* max_capacity* enable_elastic_disk* node_type_id* instance_pool_id* aws_attributes |
События задания
jobs Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
jobs |
cancel |
Выполнение задания отменено. | * run_id |
jobs |
cancelAllRuns |
Пользователь отменяет все запуски в задании. | * job_id |
jobs |
changeJobAcl |
Пользователь обновляет разрешения для задания. | * shardName* aclPermissionSet* resourceId* targetUserId |
jobs |
create |
Пользователь создает задание. | * spark_jar_task* email_notifications* notebook_task* spark_submit_task* timeout_seconds* libraries* name* spark_python_task* job_type* new_cluster* existing_cluster_id* max_retries* schedule* run_as |
jobs |
delete |
Пользователь удаляет задание. | * job_id |
jobs |
deleteRun |
Пользователь удаляет выполнение задания. | * run_id |
jobs |
getRunOutput |
Пользователь вызывает API для получения выходных данных выполнения. | * run_id* is_from_webapp |
jobs |
repairRun |
Пользователь восстанавливает выполнение задания. | * run_id* latest_repair_id* rerun_tasks |
jobs |
reset |
Задание сбрасывается. | * job_id* new_settings |
jobs |
resetJobAcl |
Пользователь запрашивает изменение разрешений задания. | * grants* job_id |
jobs |
runCommand |
Доступно при включении подробных журналов аудита. Создается после выполнения команды в записной книжке. Команда соответствует ячейке записной книжки. | * jobId* runId* notebookId* executionTime* status* commandId* commandText |
jobs |
runFailed |
Выполнение задания завершается сбоем. | * jobClusterType* jobTriggerType* jobId* jobTaskType* runId* jobTerminalState* idInJob* orgId* runCreatorUserName |
jobs |
runNow |
Пользователь активирует выполнение задания по запросу. | * notebook_params* job_id* jar_params* workflow_context |
jobs |
runStart |
Создается при запуске задания после проверки и создания кластера. Параметры запроса, создаваемые этим событием, зависят от типа задач в задании. Помимо перечисленных параметров они могут включать: * dashboardId (для задачи панели мониторинга SQL)* filePath (для задачи sql-файла)* notebookPath (для задачи записной книжки)* mainClassName (для задачи Spark JAR)* pythonFile (для задачи Spark JAR)* projectDirectory (для задачи dbt)* commands (для задачи dbt)* packageName (для задачи колеса Python)* entryPoint (для задачи колеса Python)* pipelineId (для задачи конвейера)* queryIds (для задачи SQL-запроса)* alertId (для задачи оповещения SQL) |
* taskDependencies* multitaskParentRunId* orgId* idInJob* jobId* jobTerminalState* taskKey* jobTriggerType* jobTaskType* runId* runCreatorUserName |
jobs |
runSucceeded |
Выполнение задания выполнено успешно. | * idInJob* jobId* jobTriggerType* orgId* runId* jobClusterType* jobTaskType* jobTerminalState* runCreatorUserName |
jobs |
runTriggered |
Расписание задания активируется автоматически в соответствии с расписанием или триггером. | * jobId* jobTriggeredType* runId |
jobs |
sendRunWebhook |
Веб-перехватчик отправляется, когда задание начинается, завершается или завершается сбоем. | * orgId* jobId* jobWebhookId* jobWebhookEvent* runId |
jobs |
setTaskValue |
Пользователь задает значения для задачи. | * run_id* key |
jobs |
submitRun |
Пользователь отправляет однократное выполнение через API. | * shell_command_task* run_name* spark_python_task* existing_cluster_id* notebook_task* timeout_seconds* libraries* new_cluster* spark_jar_task |
jobs |
update |
Пользователь изменяет параметры задания. | * job_id* fields_to_remove* new_settings* is_from_dlt |
События потребителей Marketplace
marketplaceConsumer Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Пользователь получает доступ к продукту данных через Databricks Marketplace. | * listing_id* listing_name* share_name* catalog_name* request_context: массив сведений об учетной записи и хранилище метаданных, которые получили доступ к продукту данных |
marketplaceConsumer |
requestDataProduct |
Пользователь запрашивает доступ к продукту данных, которому требуется утверждение поставщика. | * listing_id* listing_name* catalog_name* request_context: массив сведений об учетной записи и хранилище метаданных, запрашивающих доступ к продукту данных |
События поставщика Marketplace
marketplaceProvider Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
marketplaceProvider |
createListing |
Администратор хранилища метаданных создает список в профиле поставщика. | * listing: массив сведений о списке* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateListing |
Администратор хранилища метаданных обновляет список в профиле поставщика. | * id* listing: массив сведений о списке* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
deleteListing |
Администратор хранилища метаданных удаляет список в профиле поставщика. | * id* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateConsumerRequestStatus |
Администраторы хранилища метаданных утверждают или запрещают запрос на продукт данных. | * listing_id* request_id* status* reason* share: массив сведений о общей папке* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
createProviderProfile |
Администратор хранилища метаданных создает профиль поставщика. | * provider: массив сведений о поставщике* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
updateProviderProfile |
Администратор хранилища метаданных обновляет свой профиль поставщика. | * id* provider: массив сведений о поставщике* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
deleteProviderProfile |
Администратор хранилища метаданных удаляет свой профиль поставщика. | * id* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
marketplaceProvider |
uploadFile |
Поставщик отправляет файл в профиль поставщика. | * request_context: массив сведений об учетной записи поставщика и хранилище метаданных* marketplace_file_type* display_name* mime_type* file_parent: массив родительских сведений о файле |
marketplaceProvider |
deleteFile |
Поставщик удаляет файл из профиля поставщика. | * file_id* request_context: массив сведений об учетной записи поставщика и хранилище метаданных |
Артефакты MLflow с событиями ACL
mlflowAcledArtifact Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Пользователь вызывает чтение артефакта. | * artifactLocation* experimentId* runId |
mlflowAcledArtifact |
writeArtifact |
Пользователь вызывает запись в артефакт. | * artifactLocation* experimentId* runId |
События эксперимента MLflow
mlflowExperiment Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Пользователь создает эксперимент MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Пользователь удаляет эксперимент MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
moveMlflowExperiment |
Пользователь перемещает эксперимент MLflow. | * newPath* experimentId* oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Пользователь восстанавливает эксперимент MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
renameMlflowExperiment |
Пользователь переименовывает эксперимент MLflow. | * oldName* newName* experimentId* parentPath |
События реестра моделей MLflow
mlflowModelRegistry Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Пользователь утверждает запрос на переход стадии версии модели. | * name* version* stage* archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Пользователь обновляет разрешения для зарегистрированной модели. | * registeredModelId* userId |
modelRegistry |
createComment |
Пользователь публикует комментарий к версии модели. | * name* version |
modelRegistry |
createModelVersion |
Пользователь создает версию модели. | * name* source* run_id* tags* run_link |
modelRegistry |
createRegisteredModel |
Пользователь создает новую зарегистрированную модель | * name* tags |
modelRegistry |
createRegistryWebhook |
Пользователь создает веб-перехватчик для событий реестра моделей. | * orgId* registeredModelId* events* description* status* creatorId* httpUrlSpec |
modelRegistry |
createTransitionRequest |
Пользователь создает запрос на переход стадии версии модели. | * name* version* stage |
modelRegistry |
deleteComment |
Пользователь удаляет комментарий к версии модели. | * id |
modelRegistry |
deleteModelVersion |
Пользователь удаляет версию модели. | * name* version |
modelRegistry |
deleteModelVersionTag |
Пользователь удаляет тег версии модели. | * name* version* key |
modelRegistry |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель | * name |
modelRegistry |
deleteRegisteredModelTag |
Пользователь удаляет тег для зарегистрированной модели. | * name* key |
modelRegistry |
deleteRegistryWebhook |
Пользователь удаляет веб-перехватчик реестра моделей. | * orgId* webhookId |
modelRegistry |
deleteTransitionRequest |
Пользователь отменяет запрос на переход на этапе версии модели. | * name* version* stage* creator |
modelRegistry |
finishCreateModelVersionAsync |
Завершено копирование асинхронной модели. | * name* version |
modelRegistry |
generateBatchInferenceNotebook |
Записная книжка для вывода пакетной службы создается автоматически. | * userId* orgId* modelName* inputTableOpt* outputTablePathOpt* stageOrVersion* modelVersionEntityOpt* notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Записная книжка вывода для конвейера Delta Live Tables создается автоматически. | * userId* orgId* modelName* inputTable* outputTable* stageOrVersion* notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания версии модели. | * name* version |
modelRegistry |
getModelVersionSignedDownloadUri |
Пользователь получает универсальный код ресурса (URI) для скачивания подписанной версии модели. | * name* version* path |
modelRegistry |
listModelArtifacts |
Пользователь вызывает список артефактов модели. | * name* version* path* page_token |
modelRegistry |
listRegistryWebhooks |
Пользователь вызывает список всех веб-перехватчиков реестра в модели. | * orgId* registeredModelId |
modelRegistry |
rejectTransitionRequest |
Пользователь отклоняет запрос на переход стадии версии модели. | * name* version* stage |
modelRegistry |
renameRegisteredModel |
Пользователь переименовывает зарегистрированную модель | * name* new_name |
modelRegistry |
setEmailSubscriptionStatus |
Пользователь обновляет состояние подписки электронной почты для зарегистрированной модели | |
modelRegistry |
setModelVersionTag |
Пользователь задает тег версии модели. | * name* version* key* value |
modelRegistry |
setRegisteredModelTag |
Пользователь задает тег версии модели. | * name* key* value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Пользователь обновляет состояние Уведомления по электронной почте для всего реестра. | * orgId* userId* subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Пользователь проверяет веб-перехватчик реестра моделей. | * orgId* webhookId |
modelRegistry |
transitionModelVersionStage |
Пользователь получает список всех открытых запросов на переход стадии для версии модели. | * name* version* stage* archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Веб-перехватчик реестра моделей активируется событием. | * orgId* registeredModelId* events* status |
modelRegistry |
updateComment |
Пользователь публикует изменения в комментарии к версии модели. | * id |
modelRegistry |
updateRegistryWebhook |
Пользователь обновляет веб-перехватчик реестра моделей. | * orgId* webhookId |
События обслуживания модели
serverlessRealTimeInference Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Разрешения пользователей обновляются для конечной точки вывода. | * shardName* targetUserId* resourceId* aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Пользователь создает конечную точку обслуживания модели. | * name* config |
serverlessRealTimeInference |
deleteServingEndpoint |
Пользователь удаляет конечную точку обслуживания модели. | * name |
serverlessRealTimeInference |
disable |
Пользователь отключает обслуживание модели для зарегистрированной модели. | * registered_mode_name |
serverlessRealTimeInference |
enable |
Пользователь включает обслуживание моделей для зарегистрированной модели. | * registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Пользователи вызывают предварительный просмотр схемы запроса. | * endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
Пользователь обновляет конечную точку обслуживания модели. | * name* served_models* traffic_config |
События записной книжки
notebook Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
notebook |
attachNotebook |
Записная книжка подключена к кластеру. | * path* clusterId* notebookId |
notebook |
cloneNotebook |
Пользователь клонирует записную книжку. | * notebookId* path* clonedNotebookId* destinationPath |
notebook |
createNotebook |
Создается записная книжка. | * notebookId* path |
notebook |
deleteFolder |
Папка записной книжки удаляется. | * path |
notebook |
deleteNotebook |
Записная книжка удаляется. | * notebookId* notebookName* path |
notebook |
detachNotebook |
Записная книжка отсоединяется от кластера. | * notebookId* clusterId* path |
notebook |
downloadLargeResults |
Пользователь скачивает результаты запроса слишком большими для отображения в записной книжке. | * notebookId* notebookFullPath |
notebook |
downloadPreviewResults |
Пользователь скачивает результаты запроса. | * notebookId* notebookFullPath |
notebook |
importNotebook |
Пользователь импортирует записную книжку. | * path |
notebook |
moveFolder |
Папка записной книжки перемещается из одного расположения в другое. | * oldPath* newPath* folderId |
notebook |
moveNotebook |
Записная книжка перемещается из одного расположения в другое. | * newPath* oldPath* notebookId |
notebook |
renameNotebook |
Записная книжка переименована. | * newName* oldName* parentPath* notebookId |
notebook |
restoreFolder |
Удаленная папка восстанавливается. | * path |
notebook |
restoreNotebook |
Удаленная записная книжка восстанавливается. | * path* notebookId* notebookName |
notebook |
runCommand |
Доступно при включении подробных журналов аудита. Создается после выполнения команды Databricks в записной книжке. Команда соответствует ячейке записной книжки.executionTime измеряется в секундах. |
* notebookId* executionTime* status* commandId* commandText* commandLanguage |
notebook |
takeNotebookSnapshot |
Моментальные снимки записной книжки выполняются при запуске службы заданий или mlflow. | * path |
События Подключение партнера
partnerHub Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Администратор рабочей области настраивает подключение к партнерскому решению. | * partner_name |
partnerHub |
deletePartnerConnection |
Администратор рабочей области удаляет подключение партнера. | * partner_name |
partnerHub |
downloadPartnerConnectionFile |
Администратор рабочей области скачивает файл подключения партнера. | * partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Администратор рабочей области настраивает ресурсы для подключения партнера. | * partner_name |
События службы удаленного журнала
remoteHistoryService Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
Пользователь добавляет учетные данные Github | ничего |
remoteHistoryService |
deleteUserGitHubCredentials |
Пользователь удаляет учетные данные Github | ничего |
remoteHistoryService |
updateUserGitHubCredentials |
Пользовательские обновления учетных данных Github | ничего |
События папки Git
repos Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
repos |
checkoutBranch |
Пользователь проверка ветвь в репозитории. | * id* branch |
repos |
commitAndPush |
Пользователь фиксирует и отправляет его в репозиторий. | * id* message* files* checkSensitiveToken |
repos |
createRepo |
Пользователь создает репозиторий в рабочей области | * url* provider* path |
repos |
deleteRepo |
Пользователь удаляет репозиторий. | * id |
repos |
discard |
Пользователь не карта фиксация в репозитории. | * id* file_paths |
repos |
getRepo |
Пользователь вызывает получение сведений об одном репозитории. | * id |
repos |
listRepos |
Пользователь вызывает все репозитории, для которых у них есть разрешения на управление. | * path_prefix* next_page_token |
repos |
pull |
Пользователь извлекает последние фиксации из репозитория. | * id |
repos |
updateRepo |
Пользователь обновляет репозиторий на другую ветвь или тег или последнюю фиксацию в той же ветви. | * id* branch* tag* git_url* git_provider |
События секретов
secrets Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
secrets |
createScope |
Пользователь создает секрет область. | * scope* initial_manage_principal* scope_backend_type |
secrets |
deleteAcl |
Пользователь удаляет списки управления доступом для секрета область. | * scope* principal |
secrets |
deleteScope |
Пользователь удаляет секрет область. | * scope |
secrets |
deleteSecret |
Пользователь удаляет секрет из область. | * key* scope |
secrets |
getAcl |
Пользователь получает списки управления доступом для секретного область. | * scope* principal |
secrets |
getSecret |
Пользователь получает секрет из область. | * key* scope |
secrets |
listAcls |
Пользователь вызывает список списков ACL для секретного область. | * scope |
secrets |
listScopes |
Пользователь вызывает область секретов списка | ничего |
secrets |
listSecrets |
Пользователь вызывает список секретов в область. | * scope |
secrets |
putAcl |
Пользователь изменяет списки управления доступом для секрета область. | * scope* principal* permission |
secrets |
putSecret |
Пользователь добавляет или редактирует секрет в область. | * string_value* key* scope |
События доступа к таблицам SQL
Примечание.
Служба sqlPermissions включает события, связанные с устаревшим контролем доступа к таблицам хранилища метаданных Hive. Databricks рекомендует обновить таблицы, управляемые хранилищем метаданных Hive, до хранилища метаданных каталога Unity.
sqlPermissions Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Администратор рабочей области или владелец объекта передает владение объектом. | * securable* principal |
sqlPermissions |
createSecurable |
Пользователь создает защищаемый объект. | * securable |
sqlPermissions |
denyPermission |
Владелец объекта запрещает привилегии для защищаемого объекта. | * permission |
sqlPermissions |
grantPermission |
Владелец объекта предоставляет разрешение на защищаемый объект. | * permission |
sqlPermissions |
removeAllPermissions |
Пользователь удаляет защищаемый объект. | * securable |
sqlPermissions |
renameSecurable |
Пользователь переименовывает защищаемый объект. | * before* after |
sqlPermissions |
requestPermissions |
Пользователь запрашивает разрешения на защищаемый объект. | * requests |
sqlPermissions |
revokePermission |
Владелец объекта отменяет разрешения на защищаемый объект. | * permission |
sqlPermissions |
showPermissions |
Разрешения защищаемых объектов представления пользователей. | * securable* principal |
События SSH
ssh Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
ssh |
login |
Вход агента SSH в драйвер Spark. | * containerId* userName* port* publicKey* instanceId |
ssh |
logout |
Выход агента SSH из драйвера Spark. | * userName* containerId* instanceId |
События веб-терминала
webTerminal Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
webTerminal |
startSession |
Пользователь запускает сеансы веб-терминала. | * socketGUID* clusterId* serverPort* ProxyTargetURI |
webTerminal |
closeSession |
Пользователь закрывает сеанс веб-терминала. | * socketGUID* clusterId* serverPort* ProxyTargetURI |
События рабочей области
workspace Следующие события регистрируются на уровне рабочей области.
| Service | Имя действия | Description | Параметры запроса |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Разрешения для рабочей области изменяются. | * shardName* targetUserId* aclPermissionSet* resourceId |
workspace |
deleteSetting |
Параметр удаляется из рабочей области. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName |
workspace |
fileCreate |
Пользователь создает файл в рабочей области. | * path |
workspace |
fileDelete |
Пользователь удаляет файл в рабочей области. | * path |
workspace |
fileEditorOpenEvent |
Пользователь открывает редактор файлов. | * notebookId* path |
workspace |
getRoleAssignment |
Пользователь получает роли пользователя рабочей области. | * account_id* workspace_id |
workspace |
mintOAuthAuthorizationCode |
Записывается при выполнении кода авторизации OAuth на уровне рабочей области. | * client_id |
workspace |
mintOAuthToken |
Маркер OAuth помят для рабочей области. | * grant_type* scope* expires_in* client_id |
workspace |
moveWorkspaceNode |
Администратор рабочей области перемещает узел рабочей области. | * destinationPath* path |
workspace |
purgeWorkspaceNodes |
Администратор рабочей области очищает узлы рабочей области. | * treestoreId |
workspace |
reattachHomeFolder |
Существующую домашнюю папку повторно присоединяют для пользователя, который повторно добавляется в рабочую область. | * path |
workspace |
renameWorkspaceNode |
Администратор рабочей области переименовывает узлы рабочей области. | * path* destinationPath |
workspace |
unmarkHomeFolder |
Специальные атрибуты домашней папки удаляются при удалении пользователя из рабочей области. | * path |
workspace |
updateRoleAssignment |
Администратор рабочей области обновляет роль пользователя рабочей области. | * account_id* workspace_id* principal_id |
workspace |
setSetting |
Администратор рабочей области настраивает параметр рабочей области. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
workspace |
workspaceConfEdit |
Администратор рабочей области обновляет параметр, например включение подробных журналов аудита. | * workspaceConfKeys* workspaceConfValues |
workspace |
workspaceExport |
Пользователь экспортирует записную книжку из рабочей области. | * workspaceExportDirectDownload* workspaceExportFormat* notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности в службе рабочей области. | * user |
События использования с выставлением счетов
accountBillableUsage Следующие события регистрируются на уровне учетной записи.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
Доступ пользователей к агрегированному оплачиваемому использованию (использование в день) для учетной записи с помощью функции Graph использования. | * account_id* window_size* start_time* end_time* meter_name* workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
Пользователь обращается к подробному оплачиваемому использованию (использованию для каждого кластера) для учетной записи с помощью функции загрузки использования. | * account_id* start_month* end_month* with_pii |
События учетной записи на уровне учетной записи
accounts Следующие события регистрируются на уровне учетной записи.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Клиент OAuth проходит проверку подлинности. | * endpoint |
accounts |
accountIpAclsValidationFailed |
Проверка разрешений IP-адресов завершается ошибкой. Возвращает код состояния 403. | * sourceIpAddress* user: зарегистрирован в качестве адреса электронной почты |
accounts |
activateUser |
Пользователь повторно активируется после деактивации. См. раздел "Отключить пользователей в учетной записи". | * targetUserName* endpoint* targetUserId |
accounts |
add |
Пользователь добавляется в учетную запись Azure Databricks. | * targetUserName* endpoint* targetUserId |
accounts |
addPrincipalToGroup |
Пользователь добавляется в группу уровня учетной записи. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
addPrincipalsToGroup |
Пользователи добавляются в группу уровня учетной записи с помощью подготовки SCIM. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
createGroup |
Создается группа уровня учетной записи. | * endpoint* targetGroupId* targetGroupName |
accounts |
deactivateUser |
Пользователь деактивирован. См. раздел "Отключить пользователей в учетной записи". | * targetUserName* endpoint* targetUserId |
accounts |
delete |
Пользователь удаляется из учетной записи Azure Databricks. | * targetUserId* targetUserName* endpoint |
accounts |
deleteSetting |
Администратор учетной записи удаляет параметр из учетной записи Azure Databricks. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
accounts |
garbageCollectDbToken |
Пользователь запускает команду сбора мусора на маркерах с истекшим сроком действия. | * tokenExpirationTime* tokenClientId* userId* tokenCreationTime* tokenFirstAccessed |
accounts |
generateDbToken |
Пользователь создает маркер из пользовательского Параметры или при создании маркера службой. | * tokenExpirationTime* tokenCreatedBy* tokenHash* userId |
accounts |
login |
Пользователь входит в консоль учетной записи. | * user |
accounts |
logout |
Пользователь выходит из консоли учетной записи. | * user |
accounts |
oidcBrowserLogin |
Пользователь входит в учетную запись с помощью рабочего процесса браузера OpenID Подключение. | * user |
accounts |
oidcTokenAuthorization |
Маркер OIDC проходит проверку подлинности для имени входа администратора учетной записи. | * user |
accounts |
removeAccountAdmin |
Администратор учетной записи удаляет разрешения администратора учетной записи от другого пользователя. | * targetUserName* endpoint* targetUserId |
accounts |
removeGroup |
Группа удаляется из учетной записи. | * targetGroupId* targetGroupName* endpoint |
accounts |
removePrincipalFromGroup |
Пользователь удаляется из группы на уровне учетной записи. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
removePrincipalsFromGroup |
Пользователи удаляются из группы уровня учетной записи с помощью подготовки SCIM. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
setAccountAdmin |
Администратор учетной записи назначает роль администратора учетной записи другому пользователю. | * targetUserName* endpoint* targetUserId |
accounts |
setSetting |
Администратор учетной записи обновляет параметр уровня учетной записи. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
accounts |
tokenLogin |
Пользователь входит в Databricks с помощью маркера. | * tokenId* user |
accounts |
updateUser |
Администратор учетной записи обновляет учетную запись пользователя. | * targetUserName* endpoint* targetUserId |
accounts |
updateGroup |
Администратор учетной записи обновляет группу на уровне учетной записи. | * endpoint* targetGroupId* targetGroupName |
accounts |
validateEmail |
Когда пользователь проверяет электронную почту после создания учетной записи. | * endpoint* targetUserName* targetUserId |
События управления доступом на уровне учетной записи
accountsAccessControl Следующее событие регистрируется на уровне учетной записи.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
При изменении набора правил. | * account_id* name* rule_set |
События управления учетными записями
accountsManager Следующие события регистрируются на уровне учетной записи. Эти события относятся к конфигурациям, сделанным администраторами учетных записей в консоли учетной записи.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
Администратор учетной записи создал конфигурацию сетевого подключения. | * network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
Администратор учетной записи запрашивает сведения о конфигурации сетевого подключения. | * account_id* network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
Администратор учетной записи перечисляет все конфигурации сетевого подключения в учетной записи. | * account_id |
accountsManager |
deleteNetworkConnectivityConfig |
Администратор учетной записи удалил конфигурацию сетевого подключения. | * account_id* network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи создал правило частной конечной точки. | * account_id* network_connectivity_config_id* azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи запрашивает сведения о правиле частной конечной точки. | * account_id* network_connectivity_config_id* rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
Администратор учетной записи перечисляет все правила частной конечной точки в конфигурации сетевого подключения. | * account_id* network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи удалил правило частной конечной точки. | * account_id* network_connectivity_config_id* rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
Администратор учетной записи обновил правило частной конечной точки. | * account_id* network_connectivity_config_id* rule_id* azure_private_endpoint_rule |
События каталога Unity
Следующие диагностические события связаны с каталогом Unity. События разностного общего доступа также регистрируются в unityCatalog службе. Сведения о событиях разностного общего доступа см. в разделе "События разностного общего доступа". События аудита каталога Unity можно регистрировать на уровне рабочей области или на уровне учетной записи в зависимости от события.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
unityCatalog |
createMetastore |
Администратор учетной записи создает хранилище метаданных. | * name* storage_root* workspace_id* metastore_id |
unityCatalog |
getMetastore |
Администратор учетной записи запрашивает идентификатор хранилища метаданных. | * id* workspace_id* metastore_id |
unityCatalog |
getMetastoreSummary |
Администратор учетной записи запрашивает сведения о хранилище метаданных. | * workspace_id* metastore_id |
unityCatalog |
listMetastores |
Администратор учетной записи запрашивает список всех хранилищ метаданных в учетной записи. | * workspace_id |
unityCatalog |
updateMetastore |
Администратор учетной записи обновляет хранилище метаданных. | * id* owner* workspace_id* metastore_id |
unityCatalog |
deleteMetastore |
Администратор учетной записи удаляет хранилище метаданных. | * id* force* workspace_id* metastore_id |
unityCatalog |
updateMetastoreAssignment |
Администратор учетной записи обновляет назначение рабочей области хранилища метаданных. | * workspace_id* metastore_id* default_catalog_name |
unityCatalog |
createExternalLocation |
Администратор учетной записи создает внешнее расположение. | * name* skip_validation* url* credential_name* workspace_id* metastore_id |
unityCatalog |
getExternalLocation |
Администратор учетной записи запрашивает сведения о внешнем расположении. | * name_arg* include_browse* workspace_id* metastore_id |
unityCatalog |
listExternalLocations |
Список запросов администратора учетной записи всех внешних расположений в учетной записи. | * url* max_results* workspace_id* metastore_id |
unityCatalog |
updateExternalLocation |
Администратор учетной записи обновляет внешнее расположение. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
deleteExternalLocation |
Администратор учетной записи удаляет внешнее расположение. | * name_arg* force* workspace_id* metastore_id |
unityCatalog |
createCatalog |
Пользователь создает каталог. | * name* comment* workspace_id* metastore_id |
unityCatalog |
deleteCatalog |
Пользователь удаляет каталог. | * name_arg* workspace_id* metastore_id |
unityCatalog |
getCatalog |
Пользователь запрашивает сведения о каталоге. | * name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
updateCatalog |
Пользователь обновляет каталог. | * name_arg* isolation_mode* comment* workspace_id* metastore_id |
unityCatalog |
listCatalog |
Пользователь вызывает список всех каталогов в хранилище метаданных. | * name_arg* workspace_id* metastore_id |
unityCatalog |
createSchema |
Пользователь создает схему. | * name* catalog_name* comment* workspace_id* metastore_id |
unityCatalog |
deleteSchema |
Пользователь удаляет схему. | * full_name_arg* force* workspace_id* metastore_id |
unityCatalog |
getSchema |
Пользователь запрашивает сведения о схеме. | * full_name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
listSchema |
Пользователь запрашивает список всех схем в каталоге. | * catalog_name |
unityCatalog |
updateSchema |
Пользователь обновляет схему. | * full_name_arg* name* workspace_id* metastore_id* comment |
unityCatalog |
createStagingTable |
* name* catalog_name* schema_name* workspace_id* metastore_id |
|
unityCatalog |
createTable |
Пользователь создает таблицу. Параметры запроса различаются в зависимости от типа создаваемой таблицы. | * name* data_source_format* catalog_name* schema_name* storage_location* columns* dry_run* table_type* view_dependencies* view_definition* sql_path* comment |
unityCatalog |
deleteTable |
Пользователь удаляет таблицу. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
getTable |
Пользователь запрашивает сведения о таблице. | * include_delta_metadata* full_name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
privilegedGetTable |
* full_name_arg |
|
unityCatalog |
listTables |
Пользователь вызывает список всех таблиц в схеме. | * catalog_name* schema_name* workspace_id* metastore_id* include_browse |
unityCatalog |
listTableSummaries |
Пользователь получает массив сводок для таблиц для схемы и каталога в хранилище метаданных. | * catalog_name* schema_name_pattern* workspace_id* metastore_id |
unityCatalog |
updateTables |
Пользователь вносит обновление в таблицу. Отображаемые параметры запроса зависят от типа внесенных обновлений таблицы. | * full_name_arg* table_type* table_constraint_list* data_source_format* columns* dependent* row_filter* storage_location* sql_path* view_definition* view_dependencies* owner* comment* workspace_id* metastore_id |
unityCatalog |
createStorageCredential |
Администратор учетной записи создает учетные данные хранения. Вы можете увидеть дополнительный параметр запроса на основе учетных данных поставщика облачных служб. | * name* comment* workspace_id* metastore_id |
unityCatalog |
listStorageCredentials |
Администратор учетной записи вызывает список всех учетных данных хранения в учетной записи. | * workspace_id* metastore_id |
unityCatalog |
getStorageCredential |
Администратор учетной записи запрашивает сведения о учетных данных хранения. | * name_arg* workspace_id* metastore_id |
unityCatalog |
updateStorageCredential |
Администратор учетной записи обновляет учетные данные хранения. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
deleteStorageCredential |
Администратор учетной записи удаляет учетные данные хранения. | * name_arg* workspace_id* metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Регистрируется всякий раз, когда временные учетные данные предоставляются для таблицы. Это событие можно использовать для определения того, кто запрашивал что и когда. | * credential_id* credential_type* is_permissions_enforcing_client* table_full_name* operation* table_id* workspace_id* table_url* metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Регистрируется всякий раз, когда временные учетные данные предоставляются для пути. | * url* operation* make_path_only_parent* workspace_id* metastore_id |
unityCatalog |
getPermissions |
Пользователь вызывает получение сведений о разрешениях для защищаемого объекта. Этот вызов не возвращает унаследованные разрешения, только явно назначенные разрешения. | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
getEffectivePermissions |
Пользователь вызывает все сведения о разрешениях для защищаемого объекта. Вызов эффективных разрешений возвращает как явно назначенные, так и унаследованные разрешения. | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
updatePermissions |
Разрешения пользователей обновляются для защищаемого объекта. | * securable_type* changes* securable_full_name* workspace_id* metastore_id |
unityCatalog |
metadataSnapshot |
Пользователь запрашивает метаданные из предыдущей версии таблицы. | * securables* include_delta_metadata* workspace_id* metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
Пользователь запрашивает метаданные и разрешения из предыдущей версии таблицы. | * securables* include_delta_metadata* workspace_id* metastore_id |
unityCatalog |
updateMetadataSnapshot |
Пользователь обновляет метаданные из предыдущей версии таблицы. | * table_list_snapshots* schema_list_snapshots* workspace_id* metastore_id |
unityCatalog |
getForeignCredentials |
Пользователь вызывает сведения о внешнем ключе. | * securables* workspace_id* metastore_id |
unityCatalog |
getInformationSchema |
Пользователь вызывает сведения о схеме. | * table_name* page_token* required_column_names* row_set_type* required_column_names* workspace_id* metastore_id |
unityCatalog |
createConstraint |
Пользователь создает ограничение для таблицы. | * full_name_arg* constraint* workspace_id* metastore_id |
unityCatalog |
deleteConstraint |
Пользователь удаляет ограничение для таблицы. | * full_name_arg* constraint* workspace_id* metastore_id |
unityCatalog |
createPipeline |
Пользователь создает конвейер каталога Unity. | * target_catalog_name* has_workspace_definition* id* workspace_id* metastore_id |
unityCatalog |
updatePipeline |
Пользователь обновляет конвейер каталога Unity. | * id_arg* definition_json* id* workspace_id* metastore_id |
unityCatalog |
getPipeline |
Пользователь запрашивает сведения о конвейере каталога Unity. | * id* workspace_id* metastore_id |
unityCatalog |
deletePipeline |
Пользователь удаляет конвейер каталога Unity. | * id* workspace_id* metastore_id |
unityCatalog |
deleteResourceFailure |
Ресурс не удаляется | ничего |
unityCatalog |
createVolume |
Пользователь создает том каталога Unity. | * name* catalog_name* schema_name* volume_type* storage_location* owner* comment* workspace_id* metastore_id |
unityCatalog |
getVolume |
Пользователь вызывает получение сведений о томе каталога Unity. | * volume_full_name* workspace_id* metastore_id |
unityCatalog |
updateVolume |
Пользователь обновляет метаданные тома каталога Unity с ALTER VOLUME помощью вызовов или COMMENT ON вызовов. |
* volume_full_name* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteVolume |
Пользователь удаляет том каталога Unity. | * volume_full_name* workspace_id* metastore_id |
unityCatalog |
listVolumes |
Пользователь вызывает список всех томов каталога Unity в схеме. | * catalog_name* schema_name* workspace_id* metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются при выполнении пользователем операции чтения или записи на томе. Это событие можно использовать для определения доступа к тому и времени. | * volume_id* volume_full_name* operation* volume_storage_location* credential_id* credential_type* workspace_id* metastore_id |
unityCatalog |
getTagSecurableAssignments |
Назначения тегов для защищаемого объекта извлекаются | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
getTagSubentityAssignments |
Назначения тегов для подсети извлекаются | * securable_type* securable_full_name* workspace_id* metastore_id* subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Назначения тегов для защищаемого объекта обновляются | * securable_type* securable_full_name* workspace_id* metastore_id* changes |
unityCatalog |
UpdateTagSubentityAssignments |
Обновляются назначения тегов для подсети | * securable_type* securable_full_name* workspace_id* metastore_id* subentity_name* changes |
unityCatalog |
createRegisteredModel |
Пользователь создает зарегистрированную модель каталога Unity. | * name* catalog_name* schema_name* owner* comment* workspace_id* metastore_id |
unityCatalog |
getRegisteredModel |
Пользователь вызывает сведения о зарегистрированной модели каталога Unity. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
updateRegisteredModel |
Пользователь обновляет метаданные зарегистрированной модели каталога Unity. | * full_name_arg* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteRegisteredModel |
Пользователь удаляет зарегистрированную модель каталога Unity. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
listRegisteredModels |
Пользователь вызывает список зарегистрированных моделей каталога Unity в схеме или списке моделей в каталогах и схемах. | * catalog_name* schema_name* max_results* page_token* workspace_id* metastore_id |
unityCatalog |
createModelVersion |
Пользователь создает версию модели в каталоге Unity. | * catalog_name* schema_name* model_name* source* comment* workspace_id* metastore_id |
unityCatalog |
finalizeModelVersion |
Пользователь вызывает "завершить" версию модели каталога Unity после отправки файлов версий модели в расположение хранилища, что делает его доступным только для чтения и доступным для вывода рабочих процессов вывода. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
getModelVersion |
Пользователь вызывает сведения о версии модели. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
getModelVersionByAlias |
Пользователь вызывает сведения о версии модели с помощью псевдонима. | * full_name_arg* include_aliases* alias_arg* workspace_id* metastore_id |
unityCatalog |
updateModelVersion |
Пользователь обновляет метаданные версии модели. | * full_name_arg* version_arg* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteModelVersion |
Пользователь удаляет версию модели. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
listModelVersions |
Пользователь вызывает список версий модели каталога Unity в зарегистрированной модели. | * catalog_name* schema_name* model_name* max_results* page_token* workspace_id* metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Временные учетные данные создаются при выполнении пользователем записи (во время начальной версии модели creaiton) или чтения (после завершения версии модели) в версии модели. Это событие можно использовать для определения того, кто обращается к версии модели и когда. | * full_name_arg* version_arg* operation* model_version_url* credential_id* credential_type* workspace_id* metastore_id |
unityCatalog |
setRegisteredModelAlias |
Пользователь задает псевдоним для зарегистрированной модели каталога Unity. | * full_name_arg* alias_arg* version |
unityCatalog |
deleteRegisteredModelAlias |
Пользователь удаляет псевдоним в зарегистрированной модели каталога Unity. | * full_name_arg* alias_arg |
unityCatalog |
getModelVersionByAlias |
Пользователь получает версию модели каталога Unity по псевдониму. | * full_name_arg* alias_arg |
unityCatalog |
createConnection |
Создается новое внешнее подключение. | * name* connection_type* workspace_id* metastore_id |
unityCatalog |
deleteConnection |
Удаляется внешнее подключение. | * name_arg* workspace_id* metastore_id |
unityCatalog |
getConnection |
Извлекается внешнее подключение. | * name_arg* workspace_id* metastore_id |
unityCatalog |
updateConnection |
Обновляется внешнее подключение. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
listConnections |
Перечислены внешние подключения в хранилище метаданных. | * workspace_id* metastore_id |
unityCatalog |
createFunction |
Пользователь создает новую функцию. | * function_info* workspace_id* metastore_id |
unityCatalog |
updateFunction |
Пользователь обновляет функцию. | * full_name_arg* owner* workspace_id* metastore_id |
unityCatalog |
listFunctions |
Пользователь запрашивает список всех функций в определенном родительском каталоге или схеме. | * catalog_name* schema_name* include_browse* workspace_id* metastore_id |
unityCatalog |
getFunction |
Пользователь запрашивает функцию из родительского каталога или схемы. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
deleteFunction |
Пользователь запрашивает функцию из родительского каталога или схемы. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
* links_infos* metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
* links_infos* metastore_id |
События разностного общего доступа
События разностного общего доступа разделены на два раздела: события, записанные в учетной записи поставщика данных и события, записанные в учетной записи получателя данных.
События поставщика разностного доступа
Следующие события журнала аудита регистрируются в учетной записи поставщика. Действия, выполняемые получателями, начинаются с deltaSharing префикса. Каждый из этих журналов также включает в себя request_params.metastore_idхранилище метаданных, которое управляет общими данными и userIdentity.emailявляется идентификатором пользователя, инициирующего действие.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Получатель данных запрашивает список общих папок. | * options: параметры разбиения на страницы, передаваемые с этим запросом.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetShare |
Получатель данных запрашивает сведения об общих ресурсах. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListSchemas |
Получатель данных запрашивает список общих схем. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* options: параметры разбиения на страницы, передаваемые с этим запросом.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllTables |
Получатель данных запрашивает список всех общих таблиц. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListTables |
Получатель данных запрашивает список общих таблиц. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* options: параметры разбиения на страницы, передаваемые с этим запросом.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetTableMetadata |
Получатель данных запрашивает сведения о метаданных таблицы. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* schema — имя схемы.* name: имя таблицы.* predicateHints: предикаты, содержащиеся в запросе.* limitHints: максимальное число возвращаемых строк.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingGetTableVersion |
Получатель данных запрашивает сведения о версии таблицы. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* schema — имя схемы.* name: имя таблицы.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryTable |
Записывается в журнал, когда получатель данных запрашивает общую таблицу. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* schema — имя схемы.* name: имя таблицы.* predicateHints: предикаты, содержащиеся в запросе.* limitHints: максимальное число возвращаемых строк.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryTableChanges |
Записывается в журнал, когда получатель данных запрашивает изменения данных для таблицы. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* schema — имя схемы.* name: имя таблицы.* cdf_options: изменение параметров канала данных.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueriedTable |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным") |
* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueriedTableChanges |
Регистрируется после того, как получатель данных получает ответ на запрос. Поле response.result содержит дополнительные сведения о запросе получателя (см. статью "Аудит и мониторинг общего доступа к данным"). |
* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListNotebookFiles |
Получатель данных запрашивает список общих файлов записной книжки. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingQueryNotebookFile |
Получатель данных запрашивает общий файл записной книжки. | * file_name: имя файла записной книжки.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListFunctions |
Получатель данных запрашивает список функций в родительской схеме. | * share: имя общего ресурса.* schema: имя родительской схемы функции.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllFunctions |
Получатель данных запрашивает список всех общих функций. | * share: имя общего ресурса.* schema: имя родительской схемы функции.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListFunctionVersions |
Получатель данных запрашивает список версий функций. | * share: имя общего ресурса.* schema: имя родительской схемы функции.* function: имя функции.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListVolumes |
Получатель данных запрашивает список общих томов в схеме. | * share: имя общего ресурса.* schema: схема родителей томов.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
deltaSharingListAllVolumes |
Получатель данных запрашивает все общие тома. | * share: имя общего ресурса.* recipient_name: указывает получателю, выполняющего действие.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае значение true, если запрос был отклонен и false, если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
updateMetastore |
Поставщик обновляет хранилище метаданных. | * delta_sharing_scope: значения могут быть INTERNAL или INTERNAL_AND_EXTERNAL.* delta_sharing_recipient_token_lifetime_in_seconds: при наличии указывает, что время существования маркера получателя было обновлено. |
unityCatalog |
createRecipient |
Поставщик создает получателя данных. | * name: имя получателя.* comment: комментарий к получателю.* ip_access_list.allowed_ip_addresses: Список разрешенных IP-адресов получателя. |
unityCatalog |
deleteRecipient |
Поставщик удаляет получателя данных. | * name: имя получателя. |
unityCatalog |
getRecipient |
Поставщик запрашивает сведения о получателе данных. | * name: имя получателя. |
unityCatalog |
listRecipients |
Поставщик запрашивает список всех получателей данных. | ничего |
unityCatalog |
rotateRecipientToken |
Поставщик поворачивает маркер получателя. | * name: имя получателя.* comment: комментарий, указанный в команде смены. |
unityCatalog |
updateRecipient |
Поставщик обновляет атрибуты получателя данных. | * name: имя получателя.* updates: представление JSON атрибутов получателя, которые были добавлены или удалены из общей папки. |
unityCatalog |
createShare |
Поставщик обновляет атрибуты получателя данных. | * name: имя общего ресурса.* comment: комментарий для общего ресурса. |
unityCatalog |
deleteShare |
Поставщик обновляет атрибуты получателя данных. | * name: имя общего ресурса. |
unityCatalog |
getShare |
Поставщик запрашивает сведения о общей папке. | * name: имя общего ресурса.* include_shared_objects: указывает, включены ли в запрос имена таблиц общего ресурса. |
unityCatalog |
updateShare |
Поставщик добавляет или удаляет ресурсы данных из общей папки. | * name: имя общего ресурса.* updates: представление JSON-ресурсов данных, которые были добавлены или удалены из общей папки. Каждый элемент включает action (добавление или удаление), (фактическое имя таблицы), nameshared_as (имя ресурса было общим, как если бы оно отличалось от фактического имени), и partition_specification (если была указана спецификация секции). |
unityCatalog |
listShares |
Поставщик запрашивает список своих общих папок. | ничего |
unityCatalog |
getSharePermissions |
Поставщик запрашивает сведения о разрешениях общей папки. | * name: имя общего ресурса. |
unityCatalog |
updateSharePermissions |
Поставщик обновляет разрешения общей папки. | * name: имя общего ресурса.* changes: JSON-представление обновленных разрешений. Каждое изменение включает principal (пользователя или группу, которому предоставлено или отозвано разрешение), add (список предоставленных разрешений) и remove (список разрешений, которые были отменены). |
unityCatalog |
getRecipientSharePermissions |
Поставщик запрашивает сведения о разрешениях общего доступа получателя. | * name: имя общего ресурса. |
unityCatalog |
getActivationUrlInfo |
Поставщик запрашивает сведения об активности по ссылке активации. | * recipient_name: имя получателя, открывшего URL-адрес активации.* is_ip_access_denied: нет, если список доступа по IP-адресам не настроен. В противном случае, true если запрос был отклонен и false если запрос не был отклонен. sourceIPaddress — IP-адрес получателя. |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются для получателя для доступа к общему тому. | * share_name: имя общей папки, через которую запрашивает получатель.* share_id: идентификатор общей папки.* share_owner: владелец общей папки.* recipient_name: имя получателя, запрашивающего учетные данные.* recipient_id: идентификатор получателя.* volume_full_name: полное 3-уровнее имя тома.* volume_id: идентификатор тома.* volume_storage_location: путь к облаку корневого тома.* operation: READ_VOLUME или WRITE_VOLUME. Для общего доступа к томам поддерживается только READ_VOLUME .* credential_id: идентификатор учетных данных.* credential_type: тип учетных данных. Значение всегда StorageCredentialравно.* workspace_id: значение всегда 0 происходит при запросе для общих томов. |
unityCatalog |
generateTemporaryTableCredential |
Временные учетные данные создаются для получателя для доступа к общей таблице. | * share_name: имя общей папки, через которую запрашивает получатель.* share_id: идентификатор общей папки.* share_owner: владелец общей папки.* recipient_name: имя получателя, запрашивающего учетные данные.* recipient_id: идентификатор получателя.* table_full_name: полное 3-уровнее имя таблицы.* table_id: идентификатор таблицы.* table_url: путь к облаку корневого каталога таблицы.* operation: READ или READ_WRITE.* credential_id: идентификатор учетных данных.* credential_type: тип учетных данных. Значение всегда StorageCredentialравно.* workspace_id: значение всегда 0 имеет значение, если запрос предназначен для общих таблиц. |
События получателя разностного общего доступа
Следующие события регистрируются в учетной записи получателя данных. Эти события записывают доступ получателя к общим данным и ресурсам ИИ, а также события, связанные с управлением поставщиками. Каждое из этих событий также включает следующие параметры запроса:
recipient_name: имя получателя в системе поставщика данных.metastore_id: имя хранилища метаданных в системе поставщика данных.sourceIPAddress: IP-адрес, с которого был подан запрос.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Получатель данных запрашивает сведения о версии общей таблицы. | * share: имя общего ресурса.* schema: имя родительской схемы таблицы.* name: имя таблицы. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Получатель данных запрашивает сведения о метаданных общей таблицы. | * share: имя общего ресурса.* schema: имя родительской схемы таблицы.* name: имя таблицы. |
unityCatalog |
deltaSharingProxyQueryTable |
Получатель данных запрашивает общую таблицу. | * share: имя общего ресурса.* schema: имя родительской схемы таблицы.* name: имя таблицы.* limitHints: максимальное число возвращаемых строк.* predicateHints: предикаты, содержащиеся в запросе.* version: версия таблицы, если включен веб-канал изменений. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Получатель данных запрашивает изменения данных для таблицы. | * share: имя общего ресурса.* schema: имя родительской схемы таблицы.* name: имя таблицы.* cdf_options: изменение параметров канала данных. |
unityCatalog |
createProvider |
Получатель данных создает объект поставщика. | * name: имя поставщика.* comment: комментарий для поставщика. |
unityCatalog |
updateProvider |
Получатель данных обновляет объект поставщика. | * name: имя поставщика.* updates: представление JSON атрибутов поставщика, которые были добавлены или удалены из общей папки. Каждый элемент включает action (добавление или удаление) и может включать name (новое имя поставщика), owner (новый владелец) и comment. |
unityCatalog |
deleteProvider |
Получатель данных удаляет объект поставщика. | * name: имя поставщика. |
unityCatalog |
getProvider |
Получатель данных запрашивает сведения о объекте поставщика. | * name: имя поставщика. |
unityCatalog |
listProviders |
Получатель данных запрашивает список поставщиков. | ничего |
unityCatalog |
activateProvider |
Получатель данных активирует объект поставщика. | * name: имя поставщика. |
unityCatalog |
listProviderShares |
Получатель данных запрашивает список общих папок поставщика. | * name: имя поставщика. |
unityCatalog |
generateTemporaryVolumeCredential |
Временные учетные данные создаются для получателя для доступа к общему тому. | * share_name: имя общей папки, через которую запрашивает получатель.* volume_full_name: полное 3-уровнее имя тома.* volume_id: идентификатор тома.* operation: READ_VOLUME или WRITE_VOLUME. Для общего доступа к томам поддерживается только READ_VOLUME .* workspace_id: идентификатор рабочей области, получающей запрос пользователя. |
unityCatalog |
generateTemporaryTableCredential |
Временные учетные данные создаются для получателя для доступа к общей таблице. | * share_name: имя общей папки, через которую запрашивает получатель.* table_full_name: полное 3-уровнее имя таблицы.* table_id: идентификатор таблицы.* operation: READ или READ_WRITE.* workspace_id: идентификатор рабочей области, получающей запрос пользователя. |
Дополнительные события мониторинга безопасности
Для вычислительных ресурсов Azure Databricks в классической плоскости вычислений, таких как виртуальные машины для кластеров и классических хранилищ SQL, следующие функции позволяют использовать дополнительные агенты мониторинга:
- Расширенный мониторинг безопасности
- Профиль безопасности соответствия. Профиль безопасности соответствия требуется для элементов управления соответствием для PCI-DSS.
События мониторинга целостности файлов
capsule8-alerts-dataplane Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Регулярное событие для подтверждения того, что монитор включен. В настоящее время выполняется каждые 10 минут. | * instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
Память часто помечается исполняемым файлом, чтобы разрешить вредоносному коду выполняться при эксплойтации приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложным срабатываниям для определенных серверов приложений. | * instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Отслеживает целостность важных системных файлов. Оповещения о любых несанкционированных изменениях этих файлов. Databricks определяет определенные наборы системных путей на изображении, и этот набор путей может измениться со временем. | * instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещает каждый раз, когда модульный systemd файл изменяется программой, отличной от systemctlпрограммы. |
* instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Повторяющиеся сбои программы могут указывать на то, что злоумышленник пытается воспользоваться уязвимостью повреждения памяти или возникла проблема стабильности в затронутом приложении. Оповещения при сбое более 5 экземпляров отдельной программы с помощью сбоя сегментации. | * instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Как правило, контейнеры являются статическими рабочими нагрузками, это оповещение может указывать на то, что злоумышленник скомпрометировал контейнер и пытается установить и запустить внутренний процесс. Оповещения, когда файл, созданный или измененный в течение 30 минут, затем выполняется в контейнере. | * instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
Память часто помечается исполняемым файлом, чтобы разрешить вредоносному коду выполняться при эксплойтации приложения. Оповещает, когда программа задает разрешения памяти кучи или стека для исполняемого файла. Это может привести к ложным срабатываниям для определенных серверов приложений. | * instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Интерактивные оболочки являются редкими вхождений в современной производственной инфраструктуре. Оповещения при запуске интерактивной оболочки с аргументами, часто используемыми для обратных оболочк. | * instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Ведение журнала команд evading часто используется для злоумышленников, но может также указывать на то, что законный пользователь выполняет несанкционированные действия или пытается избежать политики. Оповещения при обнаружении ведения журнала команд пользователя, указывающие, что пользователь пытается избежать ведения журнала команд. | * instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Обнаруживает некоторые типы внутренних кодов ядра. Загрузка новой программы фильтра пакетов Berkeley (BPF) может указывать на то, что злоумышленник загружает коркит на основе BPF, чтобы получить сохраняемость и избежать обнаружения. Оповещения при загрузке новой привилегированной программы BPF, если процесс, который уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Злоумышленники обычно загружают модули вредоносного ядра (rootkits), чтобы избежать обнаружения и поддержания сохраняемости на скомпрометированном узле. Оповещения при загрузке модуля ядра, если программа уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Злоумышленники могут создавать или переименовать вредоносные двоичные файлы, чтобы включить пространство в конце имени в попытке олицетворить законную системную программу или службу. Оповещает, когда программа выполняется с пробелом после имени программы. | * instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Эксплойты повышения привилегий ядра обычно позволяют непривилегированного пользователя получать корневые привилегии без передачи стандартных шлюзов для изменений привилегий. Оповещения, когда программа пытается повысить привилегии с помощью необычных средств. Это может выдавать ложные положительные оповещения на узлах со значительными рабочими нагрузками. | * instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Внутренние функции ядра недоступны для обычных программ, и при вызове являются сильным индикатором выполнения эксплойта ядра и что злоумышленник имеет полный контроль над узлом. Оповещения, когда функция ядра неожиданно возвращается в пользовательское пространство. | * instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP и SMAP — это защита на уровне процессора, которая повышает трудности для успешного выполнения эксплойтов ядра, и отключение этих ограничений является общим шагом в эксплойтах ядра. Оповещения при изменении программы с конфигурацией SMEP/SMAP ядра. | * instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Оповещения, когда программа использует функции ядра, часто используемые в эксплойтах escape-контейнеров, указывая, что злоумышленник создает привилегии от доступа к контейнерам к узлу. | * instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Привилегированные контейнеры имеют прямой доступ к ресурсам узла, что приводит к большему влиянию при компрометации. Оповещения при запуске привилегированного контейнера, если контейнер не является известным привилегированным образом, например kube-proxy. Это может выдавать нежелательные оповещения для законных привилегированных контейнеров. | * instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Многие контейнеры выполняют принудительное выполнение двоичного файла в контейнере, что приводит к тому, что злоумышленник получает полный контроль над затронутым узлом. Оповещения при выполнении файла, созданного контейнером, извне контейнера. | * instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
Изменение определенных атрибутов AppArmor может происходить только в ядре, указывая, что AppArmor был отключен эксплойтом ядра или rootkit. Оповещения при изменении состояния AppArmor из конфигурации AppArmor, обнаруженной при запуске датчика. | * instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Злоумышленники могут попытаться отключить принудительное применение профилей AppArmor в рамках обнаружения. Оповещения при выполнении команды для изменения профиля AppArmor, если она не была выполнена пользователем в сеансе SSH. | * instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Если не выполнен доверенный источник (например, диспетчер пакетов или средство управления конфигурацией), изменение загрузочных файлов может указать злоумышленнику, изменяющему ядро или его параметры, чтобы получить постоянный доступ к узлу. Оповещения при внесении изменений в файлы, /bootуказывающие на установку нового ядра или конфигурации загрузки. |
* instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
Удаление журналов, не выполняемое средством управления журналами, может указать, что злоумышленник пытается удалить индикаторы компрометации. Оповещения об удалении файлов системного журнала. | * instanceId |
capsule8-alerts-dataplane |
New File Executed |
Недавно созданные файлы из источников, отличных от программ обновления системы, могут быть внутренними, эксплойтами ядра или частью цепочки эксплуатации. Оповещения при создании или изменении файла в течение 30 минут, за исключением файлов, созданных программами обновления системы. | * instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
Изменение корневого хранилища сертификатов может указывать на установку изгоев центра сертификации, что позволяет перехватывать сетевой трафик или обход проверки подписи кода. Оповещения при изменении хранилища сертификатов ЦС системы. | * instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Биты параметров setuid/setgid можно использовать для предоставления постоянного метода для эскалации привилегий на узле. Оповещения при setuid установке или setgid бите в файле с chmod семейством системных вызовов. |
* instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Злоумышленники часто создают скрытые файлы в качестве средства скрытия средств и полезных данных на скомпрометированном узле. Оповещения при создании скрытого файла процессом, связанным с текущим инцидентом. | * instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Злоумышленники могут изменять системные служебные программы для выполнения вредоносных полезных данных при каждом запуске этих служебных программ. Оповещения при изменении несанкционированного процесса общей служебной программы системы. | * instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Злоумышленник или злоумышленник может использовать или установить эти программы для опроса подключенных сетей для компрометации дополнительных узлов. Оповещения при выполнении общих средств программы сканирования сети. | * instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Злоумышленники могут запустить новую сетевую службу, чтобы обеспечить простой доступ к узлу после компрометации. Оповещения при запуске программы новой сетевой службы, если программа уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Злоумышленник или изгой пользователь может выполнять команды сетевого sniffing для записи учетных данных, личных сведений (PII) или других конфиденциальных данных. Оповещения при выполнении программы, которая позволяет записывать сеть. | * instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
Использование средств передачи файлов может указывать на то, что злоумышленник пытается переместить наборы инструментов на дополнительные узлы или эксфильтровать данные в удаленную систему. Оповещения при выполнении программы, связанной с удаленным копированием файлов, если программа уже входит в текущий инцидент. | * instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Каналы команд и управление и криптокоманы часто создают новые исходящие сетевые подключения на необычных портах. Оповещения, когда программа инициирует новое подключение на редком порту, если программа уже входит в текущий инцидент. | * instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
После получения доступа к системе злоумышленник может создать сжатый архив файлов, чтобы уменьшить размер данных для кражи. Оповещения при выполнении программы сжатия данных, если программа уже входит в текущий инцидент. | * instanceId |
capsule8-alerts-dataplane |
Process Injection |
Использование методов внедрения процессов обычно указывает, что пользователь отлаживать программу, но может также указывать на то, что злоумышленник считывает секреты из других процессов или внедряет код в другие процессы. Оповещения, когда программа использует ptrace механизмы (отладка) для взаимодействия с другим процессом. |
* instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Злоумышленники часто используют программы перечисления учетных записей, чтобы определить уровень доступа и узнать, вошли ли другие пользователи в узел. Оповещения при выполнении программы, связанной с перечислением учетных записей, если программа уже входит в текущий инцидент. | * instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Изучение файловых систем является общим поведением после эксплуатации для злоумышленника, который ищет учетные данные и данные, интересующие вас. Оповещения при выполнении программы, связанной с перечислением файлов и каталогов, если программа уже входит в текущий инцидент. | * instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Злоумышленники могут просить локальную сеть и маршрутизировать сведения о выявлении смежных узлов и сетей перед боковой перемещением. Оповещения при выполнении программы, связанной с перечислением конфигурации сети, если программа уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Злоумышленники часто перечисляют запущенные программы, чтобы определить назначение узла и использовать какие-либо средства безопасности или мониторинга. Оповещения при выполнении программы, связанной с перечислением процессов, если программа уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Злоумышленники обычно выполняют команды перечисления системы для определения версий и компонентов ядра Linux и компонентов, часто чтобы определить, влияет ли узел на определенные уязвимости. Оповещения при выполнении программы, связанной с перечислением системных сведений, если программа уже является частью текущего инцидента. | * instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
Изменение запланированных задач — это распространенный метод для установления сохраняемости на скомпрометированном узле. Оповещения, когда crontabatкоманды или batch команды используются для изменения конфигураций запланированных задач. |
* instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Изменения в системных единицах могут привести к расслаблению или отключению средств безопасности или установке вредоносной службы. Оповещения, когда systemctl команда используется для изменения системных единиц. |
* instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
Явная эскалация для корневого пользователя уменьшает возможность корреляции привилегированных действий с конкретным пользователем. Оповещения при su выполнении команды. |
* instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Оповещения при sudo выполнении команды. |
* instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
Удаление файла журнала является необычным, часто выполняемым злоумышленниками действием скрытия или законными пользователями, намеревающимися избежать элементов управления аудитом. Оповещения при удалении файлов журнала командной строки. | * instanceId |
capsule8-alerts-dataplane |
New System User Added |
Злоумышленник может добавить нового пользователя на узел, чтобы предоставить надежный метод доступа. Оповещает, если новая сущность пользователя добавляется в файл /etc/passwdуправления локальными учетными записями, если сущность не добавляется программой обновления системы. |
* instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Злоумышленники могут напрямую изменять файлы, связанные с удостоверениями, чтобы добавить нового пользователя в систему. Оповещения при изменении файла, связанного с паролями пользователей, программой, не связанной с обновлением существующих сведений о пользователе. | * instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Добавление нового открытого ключа SSH — это распространенный метод для получения постоянного доступа к скомпрометированному узлу. Оповещения при попытке записи в SSH-файл authorized_keys пользователя, если программа уже входит в текущий инцидент. |
* instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
Добавление нового пользователя — это распространенный шаг для злоумышленников при установке сохраняемости на скомпрометированном узле. Оповещения, когда программа управления удостоверениями выполняется программой, отличной от диспетчера пакетов. | * instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
Удаление файла журнала является необычным, часто выполняемым злоумышленниками действием скрытия или законными пользователями, намеревающимися избежать элементов управления аудитом. Оповещения при удалении файлов журнала командной строки. | * instanceId |
capsule8-alerts-dataplane |
New System User Added |
Файлы профилей пользователей и конфигурации часто изменяются как метод сохраняемости, чтобы выполнять программу всякий раз, когда пользователь входит в систему. Оповещения, когда .bash_profile и bashrc (а также связанные файлы) изменяются программой, отличной от средства обновления системы. |
* instanceId |
События мониторинга антивирусной программы
Примечание.
Объект response JSON в этих журналах аудита всегда имеет result поле, включающее одну строку исходного результата сканирования. Каждый результат сканирования обычно представлен несколькими записями журнала аудита, по одной для каждой строки исходного вывода сканирования. Дополнительные сведения о том, что может появиться в этом файле, см. в следующей сторонней документации.
clamAVScanService-dataplane Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Антивирусная программа мониторинга выполняет проверку. Журнал будет создаваться для каждой строки исходного вывода сканирования. | * instanceId |
События системного журнала
Примечание.
Объект response JSON в журнале аудита содержит result поле, включающее исходное содержимое системного журнала.
syslog Следующее событие регистрируется на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
syslog |
processEvent |
Системный журнал обрабатывает событие. | * instanceId* processName |
События журнала мониторинга процессов
monit Следующие события регистрируются на уровне рабочей области.
| Service | Действие | Description | Параметры запроса |
|---|---|---|---|
monit |
processNotRunning |
Монитор не запущен. | * instanceId* processName |
monit |
processRestarting |
Монитор перезапускается. | * instanceId* processName |
monit |
processStarted |
Запущен монитор. | * instanceId* processName |
monit |
processRunning |
Монитор запущен. | * instanceId* processName |
Устаревшие события журнала
Databricks не рекомендуется использовать следующие диагностические события:
createAlertDestination(сейчасcreateNotificationDestination)deleteAlertDestination(сейчасdeleteNotificationDestination)updateAlertDestination(сейчасupdateNotificationDestination)
Журналы конечных точек SQL
Если вы создаете хранилища SQL с помощью устаревшего API конечной точки SQL (прежнее имя для хранилищ SQL), соответствующее имя события аудита будет содержать слово Endpoint вместо Warehouseэтого. Кроме имени, эти события идентичны событиям хранилища SQL. Сведения о описаниях и параметрах запроса этих событий см. в их соответствующих событиях хранилища в событиях Databricks SQL.
События конечной точки SQL:
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по