Guide pratique pour déterminer qui a supprimé un cluster dans le portail AzureHow to discover who deleted a cluster in Azure portal

Si un cluster de votre espace de travail a disparu ou a été supprimé, vous pouvez identifier l’utilisateur qui l’a supprimé en exécutant une requête dans le service espaces de travail log Analytics dans le portail Azure.If a cluster in your workspace has disappeared or been deleted, you can identify which user deleted it by running a query in the Log Analytics workspaces service in the Azure portal.

Notes

Si vous n’avez pas d’espace de travail Analytics configuré, vous devez configurer la journalisation des diagnostics dans Azure Databricks avant de continuer.If you do not have an analytics workspace set up, you must configure Diagnostic Logging in Azure Databricks before you continue.

  1. Chargez le service espaces de travail log Analytics dans le portail Azure.Load the Log Analytics workspaces service in the Azure portal.

  2. Cliquez sur le nom de votre espace de travail.Click the name of your workspace.

  3. Cliquez sur journaux.Click Logs.

  4. Recherchez le texte suivant : tapez votre requête ici ou cliquez sur l’un des exemples de requêtes à démarrer.Look for the following text: Type your query here or click one of the example queries to start.

    Espace de travail Azure Log AnalyticsAzure Log Analytics workspace

  5. Entrez la requête suivante :Enter the following query:

    DatabricksClusters
    | where ActionName == "permanentDelete"
         and Response contains "\"statusCode\":200"
         and RequestParams contains "\"cluster_id\":\"0210-024915-bore731\""  // Add cluster_id filter if cluster id is known
         and TimeGenerated between(datetime("2020-01-25 00:00:00") .. datetime("2020-01-28 00:00:00"))  // Add timestamp (in UTC) filter to narrow down the result.
    | extend id = parse_json(Identity)
    | extend requestParams = parse_json(RequestParams)
    | project UserEmail=id.email,clusterId = requestParams.cluster_id, SourceIPAddress, EventTime=TimeGenerated
    
  6. Modifiez le cluster_id en fonction des besoins.Edit the cluster_id as required.

  7. Modifiez les valeurs DateTime pour filtrer sur une plage de temps spécifique.Edit the datetime values to filter on a specific time range.

  8. Cliquez sur Exécuter pour exécuter la requête.Click Run to execute the query.

Les résultats (le cas échéant) s’affichent sous la zone de requête.The results (if any) display below the query box.

Résultat de la requête

Si vous ne parvenez toujours pas à trouver qui a supprimé le cluster, créez un dossier de support avec Support Microsoft.If you are still unable to find who deleted the cluster, create a support case with Microsoft Support. Fournissez des détails tels que l’ID de l' espace de travail et la plage horaire de l’événement (y compris votre fuseau horaire).Provide details such as the workspace id and the time range of the event (including your time zone). Support Microsoft examinera les journaux d’activité principaux correspondants.Microsoft Support will review the corresponding backend activity logs.