Ermitteln, wer einen Cluster im Azure-Portal gelöscht hatHow to discover who deleted a cluster in Azure portal

Wenn ein Cluster in Ihrem Arbeitsbereich verschwunden ist oder gelöscht wurde, können Sie ermitteln, welcher Benutzer ihn gelöscht hat, indem Sie eine Abfrage im Log Analytics Arbeits Bereichs Dienst im Azure-Portal ausführen.If a cluster in your workspace has disappeared or been deleted, you can identify which user deleted it by running a query in the Log Analytics workspaces service in the Azure portal.

Hinweis

Wenn Sie keinen Analytics-Arbeitsbereich eingerichtet haben, müssen Sie die Diagnoseprotokollierung in Azure Databricks konfigurieren, bevor Sie den Vorgang fortsetzen.If you do not have an analytics workspace set up, you must configure Diagnostic Logging in Azure Databricks before you continue.

  1. Laden Sie den Log Analytics Arbeits Bereichs Dienst in der Azure-Portal.Load the Log Analytics workspaces service in the Azure portal.

  2. Klicken Sie auf den Namen Ihres Arbeitsbereichs.Click the name of your workspace.

  3. Klicken Sie auf Protokolle.Click Logs.

  4. Suchen Sie nach folgendem Text: Geben Sie hier Ihre Abfrage ein, oder klicken Sie auf eine der Beispielabfragen, um zu starten.Look for the following text: Type your query here or click one of the example queries to start.

    Azure Log Analytics-ArbeitsbereichAzure Log Analytics workspace

  5. Geben Sie die folgende Abfrage ein:Enter the following query:

    DatabricksClusters
    | where ActionName == "permanentDelete"
         and Response contains "\"statusCode\":200"
         and RequestParams contains "\"cluster_id\":\"0210-024915-bore731\""  // Add cluster_id filter if cluster id is known
         and TimeGenerated between(datetime("2020-01-25 00:00:00") .. datetime("2020-01-28 00:00:00"))  // Add timestamp (in UTC) filter to narrow down the result.
    | extend id = parse_json(Identity)
    | extend requestParams = parse_json(RequestParams)
    | project UserEmail=id.email,clusterId = requestParams.cluster_id, SourceIPAddress, EventTime=TimeGenerated
    
  6. Bearbeiten Sie die cluster_id nach Bedarf.Edit the cluster_id as required.

  7. Bearbeiten Sie die DateTime -Werte so, dass Sie nach einem bestimmten Zeitbereich gefiltert werden.Edit the datetime values to filter on a specific time range.

  8. Klicken Sie auf Ausführen, um die Abfrage auszuführen.Click Run to execute the query.

Die Ergebnisse (sofern vorhanden) werden unter dem Feld Abfrage angezeigt.The results (if any) display below the query box.

Ergebnis der Abfrage

Wenn Sie immer noch nicht feststellen können, wer den Cluster gelöscht hat, erstellen Sie eine Supportanfrage mit Microsoft-Support.If you are still unable to find who deleted the cluster, create a support case with Microsoft Support. Geben Sie Details wie z. b. die Arbeitsbereichs- ID und den Zeitbereich des Ereignisses (einschließlich der Zeitzone) an.Provide details such as the workspace id and the time range of the event (including your time zone). Microsoft-Support werden die entsprechenden Back-End-Aktivitäts Protokolle überprüfen.Microsoft Support will review the corresponding backend activity logs.