診断ログ リファレンス

注意

この機能を使用するには、Premium プランが必要です。

この記事は、監査ログ サービスとイベントの包括的なリファレンスを提供します。 これらのサービスの可用性は、ログへのアクセス方法によって異なります。

• 監査ログ システム テーブルは、この記事に記載されているすべてのイベントとサービスを記録します。
• Azure Monitor の診断設定サービスでは、これらのすべてのサービスがログに記録されるわけではありません。 Azure の診断設定で使用できないサービスには、それに応じてラベルが付けられます。

注意

Azure Databricks では、セキュリティおよび不正行為分析のために、監査ログのコピーが最大 1 年間保持されます。

診断ログ サービス

次のサービスとそのイベントは、既定で診断ログに記録されます。

注意

ワークスペースレベルとアカウントレベルの指定は、監査ログ システム テーブルにのみ適用されます。 Azure 診断ログには、アカウントレベルのイベントは含まれません。

ワークスペースレベルのサービス

サービス名	説明
accounts	アカウント、ユーザー、グループ、および IP アクセス リストに関連するイベント。
aibiGenie	AI/BI Genie スペースに関連するイベント。
clusters	クラスターに関連するイベント。
clusterPolicies	クラスター ポリシーに関連するイベント。
dashboards	AI/BI ダッシュボードの使用に関連するイベント。
databrickssql	Databricks SQL の使用に関連するイベント。
dataMonitoring	レイクハウス監視に関連するイベント。
dbfs	DBFS に関連するイベント。
deltaPipelines	DLT パイプラインに関連するイベント。
フィーチャーストア	Databricks Feature Store に関連するイベント。
filesystem	ファイル管理に関連するイベント。Files API またはボリューム UI を使用したファイルの操作が含まれます。
genie	サポート担当者によるワークスペース アクセスに関連するイベント。 AI/BI Genie に関連性のないスペース。
gitCredentials	Databricks Git フォルダーの Git 資格情報に関連するイベント。 repos も参照してください。
globalInitScripts	グローバル init スクリプトに関連するイベント。
グループ	アカウントとワークスペース グループに関連するイベント。
iamRole	IAM ロールのアクセス許可に関連するイベント。
摂取	ファイルのアップロードに関連するイベント。
instancePools	pools に関連するイベント。
仕事	ジョブに関連するイベント。
lineageTracking	データ系列に関連するイベント。
marketplaceConsumer	Databricks Marketplace のコンシューマー アクションに関連するイベント。
marketplaceProvider	Databricks Marketplace のプロバイダー アクションに関連するイベント。
mlflowAcledArtifact	ACL を使用したML Flow 成果物に関連するイベント。
mlflowExperiment	ML Flow 実験に関連するイベント。
modelRegistry	モデル レジストリに関連するイベント。
ノートブック	ノートブックに関連するイベント。
partnerConnect	Partner Connect に関連するイベント。
predictiveOptimization	予測最適化に関連するイベント。
RemoteHistoryService	GitHub 資格情報の追加と削除に関連するイベント。
repos	Databricks Git フォルダーに関連するイベント。 gitCredentials も参照してください。
秘密	シークレットに関連するイベント。
serverlessRealTimeInference	モデル サービングに関連するイベント。
sqlPermissions	レガシの Hive メタストア テーブル アクセス制御に関連するイベント。
ssh	SSH アクセスに関連するイベント。
vectorSearch	ベクトル検索に関連するイベント。
webTerminal	Web ターミナル機能に関連するイベント。
ワークスペース	ワークスペースに関連するイベント。

アカウントレベルのサービス

アカウントレベルの監査ログは、次のサービスで利用可能です。

サービス名	説明
アカウントアクセス制御	アカウント アクセス制御 API に関連するアクション。
accountBillableUsage	アカウント コンソールでの課金対象となる使用状況へのアクセスに関連するアクション。
accountsManager	ネットワーク接続構成に関連するアクション。
budgetPolicyCentral	サーバーレス予算ポリシーの管理に関連するアクション。
clean-room	Clean Rooms に関連するアクション。
unityCatalog	Unity Catalog で実行されるアクション。 これには Delta Sharing イベントも含まれます。「Delta Sharing イベント」参照してください。

追加のセキュリティ監視サービス

コンプライアンス セキュリティ プロファイル (HIPAA などの一部のコンプライアンス標準に必要) または拡張セキュリティ監視 使用するワークスペースには、追加のサービスと関連アクションがあります。

これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ監視を使用している場合にのみログに生成される、ワークスペースレベルのサービスです。

サービス名	説明
capsule8-alerts-dataplane	ファイルの整合性の監視に関連するアクション。
clamAVScanService-dataplane	ウイルス対策監視に関連するアクション。

診断ログのスキーマの例

Azure Databricks では、診断ログは JSON 形式でイベントを出力します。 Azure Databricks では、監査ログは JSON 形式でイベントを出力します。 serviceName および actionName プロパティは、イベントを識別します。 名前付け規則は、Databricks REST API に従います。

次の JSON サンプルは、ユーザーがジョブを作成したときにログに記録されるイベントの例です。

{
  "TenantId": "<your-tenant-id>",
  "SourceSystem": "|Databricks|",
  "TimeGenerated": "2019-05-01T00:18:58Z",
  "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
  "OperationName": "Microsoft.Databricks/jobs/create",
  "OperationVersion": "1.0.0",
  "Category": "jobs",
  "Identity": {
    "email": "mail@contoso.com",
    "subjectName": null
  },
  "SourceIPAddress": "131.0.0.0",
  "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
  "ServiceName": "jobs",
  "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
  "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
  "ActionName": "create",
  "RequestId": "ServiceMain-206b2474f0620002",
  "Response": {
    "statusCode": 200,
    "result": "{\"job_id\":1}"
  },
  "RequestParams": {
    "name": "Untitled",
    "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
  },
  "Type": "DatabricksJobs"
}

診断ログのスキーマに関する考慮事項

• アクションに時間がかかる場合、要求と応答は別々にログに記録されますが、要求と応答のペアは同じ requestId を持ちます。
• 自動スケーリングによるクラスターのサイズ変更や、スケジューリングによるジョブの起動などの自動化アクションは、ユーザー System-User によって実行されます。
• requestParams フィールドは切り捨てられる可能性があります。 JSON 表現のサイズが 100 KB を超える場合、値は切り捨てられ、切り捨てられたエントリに文字列 ... truncated が追加されます。 切り捨てられたマップがまだ 100 KB を超えているまれなケースでは、空の値を持つ 1 つの TRUNCATED キーが代わりに配置されます。

アカウントのイベント

ワークスペース レベルでログされる accounts イベントを次に示します。

サービス	アクション	説明	要求パラメーター
accounts	accountLoginCodeAuthentication	ユーザーのアカウント ログイン コードが認証されます。	user
accounts	activateUser	ユーザーが、非アクティブ化された後に再アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。	targetUserName endpoint targetUserId
accounts	aadBrowserLogin	ユーザーが Microsoft Entra ID ブラウザー ワークフローを使用して Databricks にログインします。	user
accounts	aadTokenLogin	ユーザーは、Microsoft Entra ID トークンを使用して Databricks にログインします。	user
accounts	add	ユーザーが Azure Databricks ワークスペースに追加される。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	ユーザーがワークスペース レベルのグループに追加される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	changeDatabricksSqlAcl	ユーザーの Databricks SQL アクセス許可が変更される。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	ワークスペースへのアクセス許可が変更される。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenAcl	アクセス トークンに対するアクセス許可が変更されます。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenState	Databricks アクセス トークンが無効になっています。	tokenHash tokenState userId
accounts	changeServicePrincipalAcls	サービス プリンシパルのアクセス許可が変更されるとき。	shardName targetServicePrincipal resourceId aclPermissionSet
accounts	createGroup	ワークスペースレベルのグループが作成される。	endpoint targetUserId targetUserName
accounts	createIpAccessList	IP アクセス リストがワークスペースに追加される。	ipAccessListId userId
accounts	deactivateUser	ユーザーがワークスペースで非アクティブ化される。 ワークスペースでのユーザーの非アクティブ化に関するページを参照してください。	targetUserName endpoint targetUserId
accounts	delete	ユーザーが Azure Databricks ワークスペースから削除される。	targetUserId targetUserName endpoint
accounts	deleteIpAccessList	IP アクセス リストがワークスペースから削除される。	ipAccessListId userId
accounts	garbageCollectDbToken	ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	[ユーザー設定] からトークンを生成するとき、またはサービスがトークンを生成するとき。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	IpAccessDenied	ユーザーが拒否された IP 経由でサービスへの接続を試みる。	path user userId
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	ユーザーが JWT を使用して Databricks にログインする。	user authenticationMethod
accounts	login	ユーザーがワークスペースにログインする。	user authenticationMethod
accounts	logout	ユーザーがワークスペースからログアウトする。	user
accounts	oidcTokenAuthorization	汎用 OIDC/OAuth トークン経由で API 呼び出しが承認されるとき。	user authenticationMethod
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	期限切れでないトークンの現在の数がトークン クォータを超えるとき
accounts	removeAdmin	ユーザーがワークスペース管理者のアクセス許可を取り消される。	targetUserName endpoint targetUserId
accounts	removeGroup	グループがワークスペースから削除される。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	ユーザーがグループから削除される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	revokeDbToken	ユーザーのトークンがワークスペースからドロップされます。 ユーザーが Databricks アカウントから削除されるとトリガーできます。	userId tokenHash
accounts	setAdmin	ユーザーにアカウント管理者のアクセス許可が付与される。	endpoint targetUserName targetUserId
accounts	tokenLogin	ユーザーがトークンを使用して Databricks にログインする。	tokenId user authenticationMethod
accounts	updateIpAccessList	IP アクセス リストが変更される。	ipAccessListId userId
accounts	updateUser	ユーザーのアカウントに変更が加えられる。	endpoint targetUserName targetUserId
accounts	validateEmail	ユーザーがアカウントの作成後にメールを検証するとき。	endpoint targetUserName targetUserId
accounts	workspaceLoginCodeAuthentication	ユーザーのワークスペース スコープのログイン コードが認証を受けています。	user authenticationMethod

AI/BI ダッシュボード イベント

ワークスペース レベルでログされる dashboards イベントを次に示します。

サービス	アクション	説明	要求パラメーター
dashboards	getDashboard	ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードの下書きバージョンにアクセスできるのは、ワークスペース ユーザーだけです。	dashboard_id
dashboards	getPublishedDashboard	ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、公開されたバージョンのダッシュボードにアクセスします。 ワークスペース ユーザーとアカウント ユーザーの両方からのアクティビティが含まれます。 スケジュール済みメールを使用したダッシュボードの PDF スナップショットの受信は含まれません。	dashboard_id credentials_embedded
dashboards	executeQuery	ユーザーはダッシュボードからクエリを実行します。	dashboard_id statement_id
dashboards	cancelQuery	ユーザーはダッシュボードからクエリを取り消します。	dashboard_id statement_id
dashboards	getQueryResult	ユーザーが、ダッシュボードからクエリの結果を受け取ります。	dashboard_id statement_id
dashboards	sendDashboardSnapshot	ダッシュボードの PDF スナップショットを、スケジュールされた電子メールを介して送信します。 要求パラメーターの値は、受信者の種類で異なります。 Databricks 通知先の場合、destination_id のみの表示です。 Databricks ユーザーの場合、サブスクライバーのユーザー ID と電子メール アドレスを表示します。 受信者がメール アドレスの場合、メール アドレスのみが表示されます。	dashboard_id subscriber_destination_id subscriber_user_details: { user_id, email_address }
dashboards	getDashboardDetails	ユーザーは、データセットやウィジェットなどの下書きダッシュボードの詳細にアクセスします。 getDashboardDetails は、ユーザーが UI を使用して下書きダッシュボードを表示し、API を使用してダッシュボード定義を要求したときに常に生成されます。	dashboard_id
dashboards	createDashboard	ユーザーは、UI または API を使用して新しい AI/BI ダッシュボードを作成します。	dashboard_id
dashboards	updateDashboard	ユーザーは、UI または API を使用して AI/BI ダッシュボードを更新します。	dashboard_id
dashboards	cloneDashboard	ユーザーは AI/BI ダッシュボードをクローンします。	source_dashboard_id new_dashboard_id
dashboards	publishDashboard	ユーザーは、UI または API を使用して AI/BI ダッシュボード (資格情報の埋め込みあり、または埋め込みなし) を公開します。	dashboard_id credentials_embedded warehouse_id
dashboards	unpublishDashboard	ユーザーは UI または API を使用して、公開済み AI/BI ダッシュボードを非公開にします。	dashboard_id
dashboards	trashDashboard	ユーザーは、ダッシュボード UI または Lakeview API コマンドを使用してダッシュボードをごみ箱に移動します。 このイベントは、ワークスペース アクションではなく、これらのチャネルを介して実行された場合にのみログに記録されます。 ワークスペースアクションを監査するには、「ワークスペースイベント を参照してください。	dashboard_id
dashboards	restoreDashboard	ユーザーは、ダッシュボード UI または Lakeview API コマンドを使用して、ごみ箱から AI/BI ダッシュボードを復元します。 このイベントは、ワークスペース アクションではなく、これらのチャネルを介して実行された場合にのみログに記録されます。 ワークスペースアクションを監査するには、「ワークスペースイベント を参照してください。	dashboard_id
dashboards	migrateDashboard	ユーザーは、DBSQL ダッシュボードを AI/BI ダッシュボードに移行します。	source_dashboard_id new_dashboard_id
dashboards	createSchedule	ユーザーがメール サブスクリプションのスケジュールを作成します。	dashboard_id schedule_id
dashboards	updateSchedule	ユーザーは AI/BI ダッシュボードのスケジュールを更新します。	dashboard_id schedule_id
dashboards	deleteSchedule	ユーザーは AI/BI ダッシュボードのスケジュールを削除します。	dashboard_id schedule_id
dashboards	createSubscription	ユーザーは、メールの宛先を AI/BI ダッシュボードのスケジュールにサブスクライブします。	dashboard_id schedule_id schedule
dashboards	deleteSubscription	ユーザーは、AI/BI ダッシュボードのスケジュールからメールの宛先を削除します。	dashboard_id schedule_id

AI/BI Genie イベント

ワークスペース レベルでログされる aibiGenie イベントを次に示します。

サービス	アクション	説明	要求パラメーター
aibiGenie	createSpace	ユーザーが新しい Genie スペースを作成します。 新しい領域の space_id は、response 列に記録されます。
aibiGenie	getSpace	ユーザーが Genie スペースにアクセスします。	space_id
aibiGenie	updateSpace	ユーザーが Genie スペースの設定を更新します。 可能な設定には、タイトル、説明、倉庫、テーブル、サンプルの質問が含まれます。	space_id display_name description warehouse_id table_identifiers
aibiGenie	trashSpace	Genie スペースはごみ箱に移動されます。	space_id
aibiGenie	cloneSpace	ユーザーが Genie スペースを複製します。	space_id
aibiGenie	createConversation	ユーザーが Genie スペースに新しい会話スレッドを作成します。	space_id
aibiGenie	listConversations	ユーザーが Genie スペースで会話の一覧を開きます。	space_id
aibiGenie	getConversation	ユーザーが Genie スペースで会話スレッドを開きます。	conversation_id space_id
aibiGenie	updateConversation	ユーザーが会話スレッドのタイトルを更新します。	conversation_id space_id
aibiGenie	deleteConversation	ユーザーが Genie スペースの会話スレッドを削除します。	conversation_id space_id
aibiGenie	listGenieSpaceMessages	管理可能アクセス許可を持つユーザーは、Genie スペースの履歴にアクセスします。これには、すべてのユーザーによって送信されたメッセージが含まれます。	space_id
aibiGenie	listGenieSpaceUserMessages	少なくとも閲覧可能アクセス許可を持つユーザーは、Genie スペースの履歴にアクセスし、以前に送信された独自のメッセージを表示します。	space_id
aibiGenie	executeFullQueryResult	ユーザーが完全なクエリ結果 (最大 1GB のサイズ) を取得します。	space_id conversation_id message_id
aibiGenie	getMessageQueryResult	Genie は、会話メッセージに関連付けられているクエリ結果を取得します。	conversation_id space_id、message_id
aibiGenie	updateMessageAttachment	ユーザーは、メッセージ内のクエリを更新して再実行します。	conversation_id space_id message_id attachment_id
aibiGenie	createConversationMessage	ユーザーが Genie スペースに新しいメッセージを送信します。	conversation_id space_id
aibiGenie	getConversationMessage	ユーザーが Genie スペース内のメッセージにアクセスします。	conversation_id space_id message_id
aibiGenie	deleteConversationMessage	ユーザーが既存のメッセージを削除します。	conversation_id space_id message_id
aibiGenie	regenerateConversationMessage	ユーザーは、既存のメッセージに対する Genie 応答を再生成します。	conversation_id space_id message_id
aibiGenie	updateConversationMessage	ユーザーが Genie スペース内のメッセージの属性を更新します。 たとえば、応答で SQL のレビューまたは編集を要求する場合があります。	conversation_id space_id message_id feedback_rating
aibiGenie	updateConversationMessageFeedback	ユーザーが、Genie の回答についての自身の評価を、「サムズアップ」または「サムズダウン」に更新します。	conversation_id space_id message_id
aibiGenie	executeMessageQuery	Genie は、生成された SQL を実行して、更新データ アクションを含むクエリ結果を返します。	conversation_id space_id message_id
aibiGenie	cancelMessage	Genie が応答を終了する前に、ユーザーがメッセージを取り消します。	conversation_id space_id message_id
aibiGenie	createInstruction	ユーザーが Genie スペースの命令を作成します。	space_id instruction_type
aibiGenie	listInstructions	ユーザーが [指示] タブまたは [データ] タブに移動します。	space_id
aibiGenie	updateInstruction	ユーザーが Genie スペースの命令を更新します。	space_id instruction_id
aibiGenie	deleteInstruction	ユーザーが Genie スペースの命令を削除します。	space_id instruction_id
aibiGenie	updateSampleQuestions	ユーザーは、スペースの既定のサンプル質問を更新します。	space_id
aibiGenie	createCuratedQuestion	ユーザーがサンプルの質問またはベンチマークの質問を作成します。	space_id
aibiGenie	deleteCuratedQuestion	ユーザーがサンプルの質問またはベンチマークの質問を削除します。	space_id curated_question_id
aibiGenie	listCuratedQuestions	ユーザーは、スペース内のサンプルの質問またはベンチマークの質問の一覧にアクセスします。 これは、ユーザーが新しいチャットを開いたり、ベンチマークを表示したり、サンプルの質問を追加したりするたびに記録されます。	space_id
aibiGenie	updateCuratedQuestion	ユーザーがサンプルの質問またはベンチマークの質問を更新します。	space_id curated_question_id
aibiGenie	createEvaluationResult	Genie は、評価実行で特定の質問の評価結果を作成します。	space_id eval_id
aibiGenie	getEvaluationResult	ユーザーは、評価実行で特定の質問の結果にアクセスします。	space_id eval_id
aibiGenie	getEvaluationResultDetails	ユーザーは、評価実行で特定の質問のクエリ結果にアクセスします。	space_id eval_id
aibiGenie	updateEvaluationResult	ユーザーは、特定の質問の評価結果を更新します。	space_id eval_id
aibiGenie	createEvaluationRun	ユーザーが新しい評価実行を作成します。	space_id
aibiGenie	listEvaluationResults	ユーザーは、評価実行の結果の一覧にアクセスします。	space_id run_id
aibiGenie	listEvaluationRuns	ユーザーは、すべての評価実行の一覧にアクセスします。	space_id
aibiGenie	createConversationMessageComment	ユーザーが会話メッセージにフィードバック コメントを追加します。	conversation_id space_id message_id
aibiGenie	listConversationMessageComments	ユーザーがスペースからフィードバック コメントの一覧にアクセスします。	space_id conversation_ids message_ids user_ids comment_types
aibiGenie	deleteConversationMessageComment	ユーザーは、会話メッセージに追加されたフィードバック コメントを削除します。	conversation_id space_id message_id message_comment_id

クラスターのイベント

ワークスペース レベルでログされる cluster イベントを次に示します。

サービス	アクション	説明	要求パラメーター
clusters	changeClusterAcl	ユーザーがクラスター ACL を変更する。	shardName aclPermissionSet targetUserId resourceId
clusters	create	ユーザーがクラスターを作成する。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	createResult	クラスターの作成の結果。 create と連動。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	delete	クラスターが終了される。	cluster_id
clusters	deleteResult	クラスターの終了の結果。 delete と連動。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	edit	ユーザーがクラスター設定を変更する。 これにより、クラスター サイズや自動スケーリング動作の変更を除くすべての変更がログされます。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode
clusters	permanentDelete	UI からクラスターが削除される。	cluster_id
clusters	resize	クラスターのサイズ変更。 これは、変化する唯一のプロパティがクラスター のサイズまたは自動スケーリングの動作である実行中のクラスターに記録されます。	cluster_id num_workers autoscale
clusters	resizeResult	クラスターのサイズ変更の結果。 resize と連動。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	restart	ユーザーが実行中のクラスターを再起動する。	cluster_id
clusters	restartResult	クラスターの再起動の結果。 restart と連動。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	start	ユーザーがクラスターを起動する。	init_scripts_safe_mode cluster_id
clusters	startResult	クラスターの起動の結果。 start と連動。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId

クラスター ライブラリのイベント

ワークスペース レベルでログされる clusterLibraries イベントを次に示します。

サービス	アクション	説明	要求パラメーター
clusterLibraries	installLibraries	ユーザーがクラスターにライブラリをインストールする。	cluster_id libraries
clusterLibraries	uninstallLibraries	ユーザーがクラスター上のライブラリをアンインストールする。	cluster_id libraries
clusterLibraries	installLibraryOnAllClusters	ワークスペース管理者が、すべてのクラスターにライブラリをインストールするようにスケジュールする。	user library
clusterLibraries	uninstallLibraryOnAllClusters	ワークスペース管理者が、すべてのクラスターにインストールする一覧からライブラリを削除する。	user library

クラスター ポリシー イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

ワークスペース レベルでログされる clusterPolicies イベントを次に示します。

サービス	アクション	説明	要求パラメーター
clusterPolicies	create	ユーザーがクラスター ポリシーを作成した。	name
clusterPolicies	edit	ユーザーがクラスター ポリシーを編集した。	policy_id name
clusterPolicies	delete	ユーザーがクラスター ポリシーを削除した。	policy_id
clusterPolicies	changeClusterPolicyAcl	ワークスペース管理者がクラスター ポリシーのアクセス許可を変更する。	shardName targetUserId resourceId aclPermissionSet

Databricks SQL イベント

ワークスペース レベルでログされる databrickssql イベントを次に示します。

注意

レガシ SQL エンドポイント API を使用して SQL ウェアハウスを管理する場合、SQL ウェアハウスの監査イベントのアクション名は異なります。 SQL エンドポイント ログに関するページを参照してください。

サービス	アクション	説明	要求パラメーター
databrickssql	addDashboardWidget	ウィジェットがダッシュボードに追加されます。	dashboardId widgetId
databrickssql	cancelQueryExecution	SQL エディター UI からクエリの実行が取り消されます。 これには、Query History UI または Databricks SQL 実行 API からの取り消しは含まれません。	queryExecutionId
databrickssql	changeEndpointAcls	ウェアハウス マネージャーが SQL ウェアハウスのアクセス許可を更新します。	aclPermissionSet resourceId shardName targetUserId
databrickssql	changePermissions	ユーザーがオブジェクトのアクセス許可を更新する。	granteeAndPermission objectId objectType
databrickssql	cloneDashboard	ユーザーがダッシュボードを複製する。	dashboardId
databrickssql	commandSubmit	詳細監査ログでのみ。 要求の発生元に関係なく、コマンドが SQL ウェアハウスに送信されるときに生成されます。	warehouseId commandId validation commandText
databrickssql	commandFinish	詳細な監査ログにのみ記録します。 取り消し要求の発生元に関係なく、SQL ウェアハウス上でコマンドが完了するか、取り消されたときに生成されます。	warehouseId commandId
databrickssql	createAlert	ユーザーがアラートを作成する。	alertId
databrickssql	createNotificationDestination	ワークスペース管理者が通知先を作成する。	notificationDestinationId notificationDestinationType
databrickssql	createDashboard	ユーザーがダッシュボードを作成する。	dashboardId
databrickssql	createDataPreviewDashboard	ユーザーがデータ プレビュー ダッシュボードを作成する。	dashboardId
databrickssql	createWarehouse	クラスターの作成エンタイトルメントを持つユーザーが SQL ウェアハウスを作成します。	auto_resume auto_stop_mins channel cluster_size conf_pairs custom_cluster_confs enable_databricks_compute enable_photon enable_serverless_compute instance_profile_arn max_num_clusters min_num_clusters name size spot_instance_policy tags test_overrides
databrickssql	createQuery	ユーザーが新しいクエリを作成します。	queryId
databrickssql	createQueryDraft	ユーザーがクエリの下書きを作成する。	queryId
databrickssql	createQuerySnippet	ユーザーがクエリ スニペットを作成する。	querySnippetId
databrickssql	createSampleDashboard	ユーザーがサンプル ダッシュボードを作成する。	sampleDashboardId
databrickssql	createVisualization	ユーザーが SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用するノートブックの既定の結果テーブルと視覚化を除外します。	queryId visualizationId
databrickssql	deleteAlert	ユーザーがアラート インターフェイスから、または API 経由でアラートを削除します。 ファイル ブラウザー UI からの削除を除外します。	alertId
databrickssql	deleteNotificationDestination	ワークスペース管理者が通知先を削除する。	notificationDestinationId
databrickssql	deleteDashboard	ユーザーがダッシュボード インターフェイスから、または API 経由でダッシュボードを削除します。 ファイル ブラウザー UI 経由の削除を除外します。	dashboardId
databrickssql	deleteDashboardWidget	ユーザーがダッシュボード ウィジェットを削除する。	widgetId
databrickssql	deleteWarehouse	ウェアハウス マネージャーが SQL ウェアハウスを削除します。	id
databrickssql	deleteQuery	ユーザーがクエリ インターフェイスから、または API 経由でクエリを削除します。 ファイル ブラウザー UI 経由の削除を除外します。	queryId
databrickssql	deleteQueryDraft	ユーザーがクエリの下書きを削除する。	queryId
databrickssql	deleteQuerySnippet	ユーザーがクエリ スニペットを削除する。	querySnippetId
databrickssql	deleteVisualization	ユーザーが SQL エディターのクエリから視覚化を削除します。	visualizationId
databrickssql	downloadQueryResult	ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。	fileType queryId queryResultId credentialsEmbedded credentialsEmbeddedId
databrickssql	editWarehouse	ウェアハウス マネージャーが SQL ウェアハウスに対して編集を行います。	auto_stop_mins channel cluster_size confs enable_photon enable_serverless_compute id instance_profile_arn max_num_clusters min_num_clusters name spot_instance_policy tags
databrickssql	executeAdhocQuery	次のいずれかによって生成されます。 ユーザーが SQL エディターでクエリドラフトを実行する 視覚化集計からクエリが実行される ユーザーがダッシュボードを読み込み、基になるクエリを実行する	dataSourceId
databrickssql	executeSavedQuery	ユーザーが保存されたクエリを実行する。	queryId
databrickssql	executeWidgetQuery	クエリが実行され、ダッシュボード パネルが更新されるようなイベントによって生成されます。 該当するイベントの例をいくつか次に示します。 1 つのパネルを更新する ダッシュボード全体を更新する スケジュールされたダッシュボードの実行 パラメーターまたはフィルターの変更が 64,000 行を超えて動作している	widgetId
databrickssql	favoriteDashboard	ユーザーがダッシュボードをお気に入りに追加する。	dashboardId
databrickssql	favoriteQuery	ユーザーがクエリをお気に入りに追加する。	queryId
databrickssql	forkQuery	ユーザーがクエリを複製します。	originalQueryId queryId
databrickssql	listQueries	ユーザーがクエリ リスト ページを開くか、リスト クエリ API を呼び出します。	filter_by include_metrics max_results page_token
databrickssql	moveAlertToTrash	ユーザーがアラートをごみ箱に移動します。	alertId
databrickssql	moveDashboardToTrash	ユーザーがダッシュボードをごみ箱に移動する。	dashboardId
databrickssql	moveQueryToTrash	ユーザーがクエリをごみ箱に移動する。	queryId
databrickssql	restoreAlert	ユーザーがごみ箱からアラートを復元する。	alertId
databrickssql	restoreDashboard	ユーザーがごみ箱からダッシュボードを復元する。	dashboardId
databrickssql	restoreQuery	ユーザーがごみ箱からクエリを復元する。	queryId
databrickssql	setWarehouseConfig	ウェアハウス・マネージャーが SQL ウェアハウスの構成を設定します。	data_access_config enable_serverless_compute instance_profile_arn security_policy serverless_agreement sql_configuration_parameters try_create_databricks_managed_starter_warehouse
databrickssql	snapshotDashboard	ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボード スナップショットが含まれます。	dashboardId
databrickssql	startWarehouse	SQLウェアハウスが起動される。	id
databrickssql	stopWarehouse	ウェアハウス マネージャーが SQL ウェアハウスを停止します。 自動停止されたウェアハウスを除外します。	id
databrickssql	transferObjectOwnership	ワークスペース管理者が、ダッシュボード、クエリ、またはアラートの所有権を、Transfer Object Ownership API を介してアクティブ ユーザーに転送する。 UI または更新 API を介して行われる所有権の転送は、この監査ログ イベントによってキャプチャされません。	newOwner objectId objectType
databrickssql	unfavoriteDashboard	ユーザーが自分のお気に入りからダッシュボードを削除する。	dashboardId
databrickssql	unfavoriteQuery	ユーザーが自分のお気に入りからクエリを削除する。	queryId
databrickssql	updateAlert	ユーザーがアラートを更新する。 ownerUserName は、アラートの所有権が API を使用して転送された場合に設定されます。	alertId queryId ownerUserName
databrickssql	updateNotificationDestination	ワークスペース管理者が通知先を更新する。	notificationDestinationId
databrickssql	updateDashboardWidget	ユーザーがダッシュボード ウィジェットを更新する。 軸スケールの変更を除外します。 該当する更新の例を次に示します。 ウィジェットのサイズまたは配置に変更する ウィジェット パラメーターの追加または削除	widgetId
databrickssql	updateDashboard	ユーザーがダッシュボード プロパティを更新します。 スケジュールとサブスクリプションの変更を除外します。 該当する更新の例を次に示します。 ダッシュボード名の変更 SQL ウェアハウスへの変更 [実行するアカウント名] 設定の変更	dashboardId
databrickssql	updateOrganizationSetting	ワークスペース管理者がワークスペースの SQL 設定を更新する。	has_configured_data_access has_explored_sql_warehouses has_granted_permissions
databrickssql	updateQuery	ユーザーがクエリを更新する。 ownerUserName は、クエリの所有権が API を使用して転送される場合に設定されます。	queryId ownerUserName
databrickssql	updateQueryDraft	ユーザーがクエリの下書きを更新する。	queryId
databrickssql	updateQuerySnippet	ユーザーがクエリ スニペットを更新する。	querySnippetId
databrickssql	updateVisualization	ユーザーが SQL エディターまたはダッシュボードから視覚化を更新します。	visualizationId

データ監視イベント

次の dataMonitoring イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
dataMonitoring	CreateMonitor	ユーザーがモニターを作成する。	data_classification_config full_table_name_arg assets_dir schedule output_schema_name notifications inference_log
dataMonitoring	UpdateMonitor	ユーザーがモニターを更新する。	data_classification_config table_name full_table_name_arg drift_metrics_table_name dashboard_id custom_metrics assets_dir monitor_version profile_metrics_table_name baseline_table_name status output_schema_name inference_log slicing_exprs
dataMonitoring	DeleteMonitor	ユーザーがモニターを削除する。	full_table_name_arg
dataMonitoring	RunRefresh	モニターは、スケジュールによるか、手動で更新される。	full_table_name_arg

DBFS イベント

次の表に、ワークスペース レベルでログされる dbfs イベントを示します。

DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。

DBFS API イベント

次の DBFS 監査イベントは、DBFS REST API 経由で書き込まれたときにのみログに記録されます。

サービス	アクション	説明	要求パラメーター
dbfs	addBlock	ユーザーがデータ ブロックをストリームに追加する。 これは dbfs/create と組み合わせて使用され、DBFS にデータをストリーミングします。	handle data_length
dbfs	create	ユーザーがストリームを開いて、DBFS にファイルを書き込む。	path bufferSize overwrite
dbfs	delete	ユーザーが DBFS からファイルまたはディレクトリを削除する。	recursive path
dbfs	mkdirs	ユーザーが新しい DBFS ディレクトリを作成する。	path
dbfs	move	ユーザーが DBFS 内のある場所から別の場所にファイルを移動する。	dst source_path src destination_path
dbfs	put	ユーザーがマルチパート フォーム ポストを使用して DBFS にファイルをアップロードする。	path overwrite

DBFS 操作イベント

次の DBFS 監査イベントは、コンピューティング プレーンで発生します。

サービス	アクション	説明	要求パラメーター
dbfs	mount	ユーザーが特定の DBFS の場所にマウント ポイントを作成する。	mountPoint owner
dbfs	unmount	ユーザーが特定の DBFS の場所にあるマウント ポイントを削除する。	mountPoint

Delta パイプライン イベント

サービス	アクション	説明	要求パラメーター
deltaPipelines	changePipelineAcls	ユーザーがパイプラインのアクセス許可を変更する。	shardId targetUserId resourceId aclPermissionSet
deltaPipelines	create	ユーザーが DLT パイプラインを作成します。	allow_duplicate_names clusters configuration continuous development dry_run id libraries name storage target channel edition photon
deltaPipelines	delete	ユーザーが DLT パイプラインを削除します。	pipeline_id
deltaPipelines	edit	ユーザーが DLT パイプラインを編集します。	allow_duplicate_names clusters configuration continuous development expected_last_modified id libraries name pipeline_id storage target channel edition photon
deltaPipelines	startUpdate	ユーザーが DLT パイプラインを再起動します。	cause full_refresh job_task pipeline_id
deltaPipelines	stop	ユーザーは DLT パイプラインを停止します。	pipeline_id

Feature Store イベント

次の featureStore イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
featureStore	addConsumer	コンシューマーが特徴ストアに追加される。	features job_run notebook
featureStore	addDataSources	データ ソースが特徴テーブルに追加される。	feature_table paths, tables
featureStore	addProducer	プロデューサーがフィーチャーテーブルに追加される。	feature_table job_run notebook
featureStore	changeFeatureTableAcl	フィーチャーテーブルでアクセス許可が変更される。	aclPermissionSet resourceId shardName targetUserId
featureStore	createFeatureTable	特徴テーブルが作成される。	description name partition_keys primary_keys timestamp_keys
featureStore	createFeatures	フィーチャーテーブルでフィーチャーを作成します。	feature_table features
featureStore	deleteFeatureTable	特徴テーブルが削除される。	name
featureStore	deleteTags	特徴テーブルからタグが削除される。	feature_table_id keys
featureStore	getConsumers	ユーザーが、特徴テーブル内のコンシューマーを取得するために呼び出しを行います。	feature_table
featureStore	getFeatureTable	ユーザーが特徴テーブルを取得する呼び出しを行う。	name
featureStore	getFeatureTablesById	ユーザーが特徴テーブル ID を取得する呼び出しを行う。	ids
featureStore	getFeatures	ユーザーが特徴を取得するための呼び出しを行う。	feature_table max_results
featureStore	getModelServingMetadata	ユーザーが Model Serving メタデータを取得する呼び出しを行う。	feature_table_features
featureStore	getOnlineStore	ユーザーがオンライン ストアの詳細を取得する呼び出しを行う。	cloud feature_table online_table store_type
featureStore	getTags	ユーザーが特徴テーブルのタグを取得する呼び出しを行う。	feature_table_id
featureStore	publishFeatureTable	特徴テーブルが公開される。	cloud feature_table host online_table port read_secret_prefix store_type write_secret_prefix
featureStore	searchFeatureTables	ユーザーが特徴テーブルを検索する。	max_results page_token text
featureStore	setTags	特徴テーブルにタグが追加される。	feature_table_id tags
featureStore	updateFeatureTable	特徴テーブルが更新される。	description name

Files イベント

次の filesystem イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
filesystem	filesGet	ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。	path transferredSize
filesystem	filesPut	ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。	path receivedSize
filesystem	filesDelete	ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。	path
filesystem	filesHead	ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。	path

Genie イベント

次の genie イベントがワークスペース レベルでログされます。

注意

このサービスは、AI/BI Genie スペースとは関係ありません。 「AI/BI Genie イベント」を参照してください。

サービス	アクション	説明	要求パラメーター
genie	databricksAccess	Databricks の担当者が顧客環境へのアクセスを承認される。	duration approver reason authType user

Git 資格情報イベント

次の gitCredentials イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
gitCredentials	getGitCredential	ユーザーが Git 資格情報を取得する。	id
gitCredentials	listGitCredentials	ユーザーがすべての Git 資格情報を一覧表示する	なし
gitCredentials	deleteGitCredential	ユーザーが Git 資格情報を削除する。	id
gitCredentials	updateGitCredential	ユーザーが Git 資格情報を更新する。	id git_provider git_username
gitCredentials	createGitCredential	ユーザーが Git 資格情報を作成する。	git_provider git_username

グローバル初期化スクリプトイベント

次の globalInitScripts イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
globalInitScripts	create	ワークスペース管理者がグローバル初期化スクリプトを作成する。	name position script-SHA256 enabled
globalInitScripts	update	ワークスペース管理者がグローバル初期化スクリプトを更新する。	script_id name position script-SHA256 enabled
globalInitScripts	delete	ワークスペース管理者がグローバル初期化スクリプトを削除する。	script_id

グループ イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の groups イベントがワークスペース レベルでログされます。 これらのアクションは、レガシ ACL グループに関連しています。 アカウントとワークスペースの各レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。

サービス	アクション	説明	要求パラメーター
groups	addPrincipalToGroup	管理者がユーザーをグループに追加する。	user_name parent_name
groups	createGroup	管理者がグループを作成する。	group_name
groups	getGroupMembers	管理者がグループ メンバーを表示する。	group_name
groups	getGroups	管理者がグループの一覧を表示します	なし
groups	getInheritedGroups	管理者が継承されたグループを表示します	なし
groups	removeGroup	管理者がグループを削除する。	group_name

IAM ロール イベント

次の iamRole イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
iamRole	changeIamRoleAcl	ワークスペース管理者が IAM ロールのアクセス許可を変更する。	targetUserId shardName resourceId aclPermissionSet

データ取り込みイベント

次の ingestion イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
ingestion	proxyFileUpload	ユーザーが Azure Databricks ワークスペースにファイルをアップロードする。	x-databricks-content-length-0 x-databricks-total-files

インスタンス プール イベント

次の instancePools イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
instancePools	changeInstancePoolAcl	ユーザーがインスタンス プールのアクセス許可を変更する。	shardName resourceId targetUserId aclPermissionSet
instancePools	create	ユーザーがインスタンス プールを作成する。	enable_elastic_disk preloaded_spark_versions idle_instance_autotermination_minutes instance_pool_name node_type_id custom_tags max_capacity min_idle_instances aws_attributes
instancePools	delete	ユーザーがインスタンス プールを削除する。	instance_pool_id
instancePools	edit	ユーザーがインスタンス プールを編集する。	instance_pool_name idle_instance_autotermination_minutes min_idle_instances preloaded_spark_versions max_capacity enable_elastic_disk node_type_id instance_pool_id aws_attributes

ジョブ イベント

次の jobs イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
jobs	cancel	ジョブの実行が取り消される。	run_id
jobs	cancelAllRuns	ユーザーがジョブ上のすべての実行を取り消す。	job_id
jobs	changeJobAcl	ユーザーがジョブのアクセス許可を更新する。	shardName aclPermissionSet resourceId targetUserId
jobs	create	ユーザーがジョブを作成する。	spark_jar_task email_notifications notebook_task spark_submit_task timeout_seconds libraries name spark_python_task job_type new_cluster existing_cluster_id max_retries schedule run_as
jobs	delete	ユーザーがジョブを削除する。	job_id
jobs	deleteRun	ユーザーがジョブ実行を削除する。	run_id
jobs	getRunOutput	ユーザーが実行の出力を取得する API 呼び出しを行う。	run_id is_from_webapp
jobs	repairRun	ユーザーがジョブ実行を修復する。	run_id latest_repair_id rerun_tasks
jobs	reset	ジョブがリセットされる。	job_id new_settings
jobs	resetJobAcl	ユーザーがジョブのアクセス許可の変更を要求する。	grants job_id
jobs	runCommand	詳細監査ログが有効になっているときに使用可能。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブック内のセルに対応します。	jobId runId notebookId executionTime status commandId commandText
jobs	runFailed	ジョブ実行が失敗する。	jobClusterType jobTriggerType jobId jobTaskType runId jobTerminalState idInJob orgId runCreatorUserName
jobs	runNow	ユーザーがオンデマンド ジョブ実行をトリガーする。	notebook_params job_id jar_params workflow_context
jobs	runStart	検証とクラスターの作成後にジョブ実行が開始されたときに出力されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクの種類によって異なります。 一覧表示されているパラメーターに加えて、次のものが含まれることがあります。 dashboardId (SQL ダッシュボード タスクの場合) filePath (SQL ファイル タスクの場合) notebookPath (ノートブック タスクの場合) mainClassName (Spark JAR タスクの場合) pythonFile (Spark JAR タスクの場合) projectDirectory (dbt タスクの場合) commands (dbt タスクの場合) packageName (Python ホイール タスクの場合) entryPoint (Python ホイール タスクの場合) pipelineId (パイプライン タスクの場合) queryIds (SQL クエリ タスクの場合) alertId (SQL アラート タスクの場合)	taskDependencies multitaskParentRunId orgId idInJob jobId jobTerminalState taskKey jobTriggerType jobTaskType runId runCreatorUserName
jobs	runSucceeded	ジョブ実行が成功する。	idInJob jobId jobTriggerType orgId runId jobClusterType jobTaskType jobTerminalState runCreatorUserName
jobs	runTriggered	ジョブ スケジュールは、そのスケジュールまたはトリガーに従って自動的に実行される。	jobId jobTriggeredType runId
jobs	sendRunWebhook	ジョブの開始時、完了時、または失敗時に Webhook が送信される。	orgId jobId jobWebhookId jobWebhookEvent runId
jobs	setTaskValue	ユーザーがタスクの値を設定する。	run_id key
jobs	submitRun	ユーザーが API 経由で 1 回限りの実行を送信する。	shell_command_task run_name spark_python_task existing_cluster_id notebook_task timeout_seconds libraries new_cluster spark_jar_task
jobs	update	ユーザーがジョブの設定を編集する。	job_id fields_to_remove new_settings is_from_dlt

系列追跡イベント

次の lineageTracking イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
lineageTracking	listColumnLineages	ユーザーは、列の上流または下流の列の一覧にアクセスします。	table_name column_name lineage_direction: 系列の方向 (UPSTREAM または DOWNSTREAM)。
lineageTracking	listSecurableLineagesBySecurable	ユーザーが、セキュリティ保護可能なリソースのセキュリティ保護可能なアップストリームまたはダウンストリーム一覧にアクセスします。	securable_full_name securable_type lineage_direction: 系列の方向 (UPSTREAM または DOWNSTREAM)。
lineageTracking	listEntityLineagesBySecurable	ユーザーは、セキュリティ保護可能なリソースに書き込みや読み取りを行うエンティティ（ノートブック、ジョブなど）の一覧にアクセスします。	securable_full_name securable_type lineage_direction: 系列の方向 (UPSTREAM または DOWNSTREAM)。 entity_response_filter: エンティティの種類 (ノートブック、ジョブ、ダッシュボード、パイプライン、クエリ、サービス エンドポイントなど)。
lineageTracking	getColumnLineages	ユーザーは、テーブルとその列の列系列を取得します。	table_name column_name
lineageTracking	getTableEntityLineages	ユーザーは、テーブルの上流と下流の系列を取得します。	table_name include_entity_lineage
lineageTracking	getJobTableLineages	ユーザーは、ジョブの上流と下流のテーブル系列を取得します。	job_id
lineageTracking	getFunctionLineages	ユーザーは、関数のアップストリームおよびダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。	function_name
lineageTracking	getModelVersionLineages	ユーザーは、モデルとそのバージョンの上流および下流のセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。	model_name version
lineageTracking	getEntityTableLineages	ユーザーは、エンティティ (ノートブック、ジョブなど) の上流テーブルと下流テーブルを取得します。	entity_type entity_id
lineageTracking	getFrequentlyJoinedTables	ユーザーが、テーブルに対して頻繁に結合されるテーブルを取得します。	table_name
lineageTracking	getFrequentQueryByTable	ユーザーは、テーブルの頻繁なクエリを取得します。	source_table_name
lineageTracking	getFrequentUserByTable	ユーザーは、テーブルに関する頻繁な利用者データを取得します。	table_name
lineageTracking	getTablePopularityByDate	ユーザーは、過去 1 か月間のテーブルの人気度 (クエリ数) を取得します。	table_name
lineageTracking	getPopularEntities	ユーザーが、テーブルの一般的なエンティティ (ノートブック、ジョブなど) を取得します。	scope: ワークスペースまたはテーブル名から人気のあるエンティティを取得するためのスコープを指定します。 table_name
lineageTracking	getPopularTables	ユーザーは、テーブルの一覧のテーブルの人気情報を取得します。	scope: メタストアまたはテーブルリストから人気のあるテーブルを取得するためのスコープを指定します。 table_name_list

Marketplace コンシューマー イベント

次の marketplaceConsumer イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
marketplaceConsumer	getDataProduct	ユーザーが Databricks Marketplace を通じてデータ製品にアクセスする。	listing_id listing_name share_name catalog_name request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列
marketplaceConsumer	requestDataProduct	ユーザーがプロバイダーの承認を必要とするデータ製品へのアクセスを要求する。	listing_id listing_name catalog_name request_context: データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列

マーケットプレイスプロバイダーのイベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の marketplaceProvider イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
marketplaceProvider	createListing	メタストア管理者がプロバイダー プロファイルに一覧を作成する。	listing: リストに関する詳細の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateListing	メタストア管理者がプロバイダー プロファイルの一覧を更新する。	id listing: リストに関する詳細の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteListing	メタストア管理者がプロバイダープロファイルのリストを削除する。	id request_context: プロバイダーのアカウントとメタストアに関する詳細の配列
marketplaceProvider	updateConsumerRequestStatus	メタストア管理者がデータ製品の要求を承認または拒否する。	listing_id request_id status reason share: 共有に関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	createProviderProfile	メタストア管理者がプロバイダー プロファイルを作成する。	provider: プロバイダーに関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateProviderProfile	メタストア管理者がプロバイダー プロファイルを更新する。	id provider: プロバイダーに関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteProviderProfile	メタストア管理者がプロバイダー プロファイルを削除する。	id request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	uploadFile	プロバイダーがプロバイダー プロファイルにファイルをアップロードする。	request_context: プロバイダーのアカウントとメタストアに関する情報の配列 marketplace_file_type display_name mime_type file_parent: ファイル親の詳細の配列
marketplaceProvider	deleteFile	プロバイダーがプロバイダー プロファイルからファイルを削除する。	file_id request_context: プロバイダーのアカウントとメタストアに関する情報の配列

MLflow の成果物（ACL イベント付き）

次の mlflowAcledArtifact イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
mlflowAcledArtifact	readArtifact	ユーザーが成果物を読み取る呼び出しを行う。	artifactLocation experimentId runId
mlflowAcledArtifact	writeArtifact	ユーザーが成果物に書き込むための呼び出しを行う。	artifactLocation experimentId runId

MLflow 実験イベント

次の mlflowExperiment イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
mlflowExperiment	createMlflowExperiment	ユーザーが MLflow 実験を作成します。	experimentId path experimentName
mlflowExperiment	deleteMlflowExperiment	ユーザーが MLflow 実験を削除する。	experimentId path experimentName
mlflowExperiment	moveMlflowExperiment	ユーザーが MLflow の実験を移動させる。	newPath experimentId oldPath
mlflowExperiment	restoreMlflowExperiment	ユーザーが MLflow 実験を復元する。	experimentId path experimentName
mlflowExperiment	renameMlflowExperiment	ユーザーが MLflow 実験の名前を変更する。	oldName newName experimentId parentPath

MLflow モデル レジストリ イベント

次の mlflowModelRegistry イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
modelRegistry	approveTransitionRequest	ユーザーがモデル バージョンのステージ移行要求を承認する。	name version stage archive_existing_versions
modelRegistry	changeRegisteredModelAcl	ユーザーが登録済みモデルのアクセス許可を更新する。	registeredModelId userId
modelRegistry	createComment	ユーザーがモデル バージョンにコメントを投稿する。	name version
modelRegistry	createModelVersion	ユーザーがモデル バージョンを作成する。	name source run_id tags run_link
modelRegistry	createRegisteredModel	ユーザーが新しい登録済みモデルを作成する	name tags
modelRegistry	createRegistryWebhook	ユーザーがモデル レジストリ イベント用の Webhook を作成する。	orgId registeredModelId events description status creatorId httpUrlSpec
modelRegistry	createTransitionRequest	ユーザーがモデル バージョンのステージ移行要求を作成する。	name version stage
modelRegistry	deleteComment	ユーザーがモデル バージョンのコメントを削除する。	id
modelRegistry	deleteModelVersion	ユーザーがモデル バージョンを削除する。	name version
modelRegistry	deleteModelVersionTag	ユーザーがモデル バージョン タグを削除する。	name version key
modelRegistry	deleteRegisteredModel	ユーザーが登録済みモデルを削除する	name
modelRegistry	deleteRegisteredModelTag	ユーザーが登録済みモデルのタグを削除する。	name key
modelRegistry	deleteRegistryWebhook	ユーザーがモデル レジストリ Webhook を削除する。	orgId webhookId
modelRegistry	deleteTransitionRequest	ユーザーがモデル バージョンのステージ移行要求を取り消す。	name version stage creator
modelRegistry	finishCreateModelVersionAsync	非同期のモデルのコピーが完了した。	name version
modelRegistry	generateBatchInferenceNotebook	バッチ推論ノートブックが自動生成される。	userId orgId modelName inputTableOpt outputTablePathOpt stageOrVersion modelVersionEntityOpt notebookPath
modelRegistry	generateDltInferenceNotebook	DLT パイプラインの推論ノートブックは自動生成されます。	userId orgId modelName inputTable outputTable stageOrVersion notebookPath
modelRegistry	getModelVersionDownloadUri	ユーザーがモデル バージョンをダウンロードするための URI を取得する。	name version
modelRegistry	getModelVersionSignedDownloadUri	ユーザーが署名済みモデル バージョンをダウンロードするための URI を取得する。	name version path
modelRegistry	listModelArtifacts	ユーザーがモデルの成果物を一覧表示する呼び出しを行う。	name version path page_token
modelRegistry	listRegistryWebhooks	ユーザーがモデル内のすべてのレジストリ Webhookを一覧表示する呼び出しを行う。	orgId registeredModelId
modelRegistry	rejectTransitionRequest	ユーザーがモデル バージョンのステージ移行要求を拒否する。	name version stage
modelRegistry	renameRegisteredModel	ユーザーが登録済みモデルの名前を変更する	name new_name
modelRegistry	setEmailSubscriptionStatus	ユーザーが登録済みモデルのメール サブスクリプションの状態を更新する
modelRegistry	setModelVersionTag	ユーザーがモデル バージョン タグを設定する。	name version key value
modelRegistry	setRegisteredModelTag	ユーザーがモデル バージョン タグを設定する。	name key value
modelRegistry	setUserLevelEmailSubscriptionStatus	ユーザーがレジストリ全体に対するメール通知の状態を更新する。	orgId userId subscriptionStatus
modelRegistry	testRegistryWebhook	ユーザーがモデル レジストリ Webhook をテストする。	orgId webhookId
modelRegistry	transitionModelVersionStage	ユーザーがモデル バージョンの未完了のすべてのステージ移行要求の一覧を取得する。	name version stage archive_existing_versions
modelRegistry	triggerRegistryWebhook	モデル レジストリ Webhook がイベントによってトリガーされる。	orgId registeredModelId events status
modelRegistry	updateComment	ユーザーがモデル バージョンのコメントに編集を投稿する。	id
modelRegistry	updateRegistryWebhook	ユーザーがモデル レジストリ Webhook を更新する。	orgId webhookId

Model Serving イベント

次の serverlessRealTimeInference イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
serverlessRealTimeInference	changeInferenceEndpointAcl	ユーザーが推論エンドポイントのアクセス許可を更新する。	shardName targetUserId resourceId aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	ユーザーが Model Serving エンドポイントを作成する。	name config
serverlessRealTimeInference	deleteServingEndpoint	ユーザーが Model Serving エンドポイントを削除する。	name
serverlessRealTimeInference	disable	ユーザーが登録済みモデルの Model Serving を無効にする。	registered_mode_name
serverlessRealTimeInference	enable	ユーザーが登録済みモデルの Model Serving を有効にする。	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	ユーザーがクエリ スキーマ プレビューを取得するための呼び出しを行う。	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	ユーザーが Model Serving エンドポイントを更新する。	name served_models traffic_config
serverlessRealTimeInference	updateInferenceEndpointRateLimits	ユーザーは、推論エンドポイントのレート制限を更新します。 レート制限は、Foundation Model API のトークンごとの支払いおよび外部モデル エンドポイントにのみ適用されます。	name rate_limits

ノートブック イベント

次の notebook イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
notebook	attachNotebook	ノートブックがクラスターにアタッチされる。	path clusterId notebookId
notebook	cloneNotebook	ユーザーがノートブックを複製する。	notebookId path clonedNotebookId destinationPath
notebook	createNotebook	ノートブックが作成される。	notebookId path
notebook	deleteFolder	ノートブック フォルダーが削除される。	path
notebook	deleteNotebook	ノートブックが削除される。	notebookId notebookName path
notebook	detachNotebook	ノートブックがクラスターからデタッチされる。	notebookId clusterId path
notebook	downloadLargeResults	ユーザーがノートブックに表示するには大きすぎるクエリ結果をダウンロードする。	notebookId notebookFullPath
notebook	downloadPreviewResults	ユーザーがクエリ結果をダウンロードする。	notebookId notebookFullPath
notebook	importNotebook	ユーザーがノートブックをインポートする。	path
notebook	moveFolder	ノートブック フォルダーがある場所から別の場所に移動される。	oldPath newPath folderId
notebook	moveNotebook	ノートブックがある場所から別の場所に移動される。	newPath oldPath notebookId
notebook	renameNotebook	ノートブックの名前が変更される。	newName oldName parentPath notebookId
notebook	restoreFolder	削除されたフォルダーが復元される。	path
notebook	restoreNotebook	削除されたノートブックが復元される。	path notebookId notebookName
notebook	runCommand	詳細監査ログが有効になっているときに使用可能。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドは、ノートブック内のセルに対応します。 executionTime は秒単位で測定されます。	notebookId executionTime status commandId commandText commandLanguage
notebook	takeNotebookSnapshot	ジョブ サービスまたは MLflow の実行時にノートブック スナップショットが作成される。	path

Partner Connect イベント

次の partnerHub イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
partnerHub	createOrReusePartnerConnection	ワークスペース管理者がパートナー ソリューションへの接続を設定する。	partner_name
partnerHub	deletePartnerConnection	ワークスペース管理者がパートナー接続を削除する。	partner_name
partnerHub	downloadPartnerConnectionFile	ワークスペース管理者がパートナー接続ファイルをダウンロードする。	partner_name
partnerHub	setupResourcesForPartnerConnection	ワークスペース管理者がパートナー接続のリソースを設定する。	partner_name

予測最適化イベント

次の predictiveOptimization イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
predictiveOptimization	PutMetrics	予測最適化によってテーブルとワークロードのメトリックが更新されたときに記録されるため、サービスは最適化操作をよりインテリジェントにスケジュールできる。	table_metrics_list start_time end_time

リモート履歴サービスのイベント

次の RemoteHistoryService イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
RemoteHistoryService	addUserGitHubCredentials	ユーザーが Github 資格情報を追加する	なし
RemoteHistoryService	deleteUserGitHubCredentials	ユーザーが Github 資格情報を削除する	なし
RemoteHistoryService	updateUserGitHubCredentials	ユーザーが Github 資格情報を更新する	なし

Git フォルダー イベント

次の repos イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
repos	checkoutBranch	ユーザーがリポジトリのブランチをチェックアウトする。	id branch
repos	commitAndPush	ユーザーがリポジトリにコミットしてプッシュする。	id message files checkSensitiveToken
repos	createRepo	ユーザーがワークスペースにリポジトリを作成する	url provider path
repos	deleteRepo	ユーザーがリポジトリを削除する。	id
repos	discard	ユーザーがリポジトリへのコミットを破棄する。	id file_paths
repos	getRepo	ユーザーが 1 つのリポジトリに関する情報を取得する呼び出しを行う。	id
repos	listRepos	ユーザーが管理アクセス許可を持つすべてのリポジトリを取得する呼び出しを行う。	path_prefix next_page_token
repos	pull	ユーザーがリポジトリから最新のコミットをプルする。	id
repos	updateRepo	ユーザーがリポジトリを別のブランチまたはタグ、あるいは同じブランチの最新のコミットに更新する。	id branch tag git_url git_provider

シークレット イベント

次の secrets イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
secrets	createScope	ユーザーがシークレット スコープを作成する。	scope initial_manage_principal scope_backend_type
secrets	deleteAcl	ユーザーがシークレット スコープの ACL を削除する。	scope principal
secrets	deleteScope	ユーザーがシークレット スコープを削除する。	scope
secrets	deleteSecret	ユーザーがスコープからシークレットを削除する。	key scope
secrets	getAcl	ユーザーがシークレット スコープの ACL を取得する。	scope principal
secrets	getSecret	ユーザーがスコープからシークレットを取得する。	key scope
secrets	listAcls	ユーザーがシークレット スコープの ACL を一覧表示する呼び出しを行う。	scope
secrets	listScopes	ユーザーがシークレット スコープを一覧表示する呼び出しを行う	なし
secrets	listSecrets	ユーザーがスコープ内のシークレットを一覧表示する呼び出しを行う。	scope
secrets	putAcl	ユーザーがシークレット スコープの ACL を変更する。	scope principal permission
secrets	putSecret	ユーザーがスコープ内でシークレットを追加または編集する。	string_value key scope

SQL テーブルへのアクセス イベント

注意

sqlPermissions サービスには、レガシの Hive メタストア テーブル アクセス制御に関連するイベントが含まれています。 Databricks では、Hive メタストアによって管理されるテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。

次の sqlPermissions イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
sqlPermissions	changeSecurableOwner	オブジェクトのワークスペース管理者または所有者がオブジェクトの所有権を譲渡する。	securable principal
sqlPermissions	createSecurable	ユーザーがセキュリティ保護可能なオブジェクトを作成する。	securable
sqlPermissions	denyPermission	オブジェクト所有者がセキュリティ保護可能なオブジェクトに対する特権を拒否する。	permission
sqlPermissions	grantPermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対するアクセス許可を付与する。	permission
sqlPermissions	removeAllPermissions	ユーザーがセキュリティ保護可能なオブジェクトをドロップする。	securable
sqlPermissions	renameSecurable	ユーザーがセキュリティ保護可能なオブジェクトの名前を変更する。	before after
sqlPermissions	requestPermissions	ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求する。	requests
sqlPermissions	revokePermission	オブジェクト所有者がセキュリティ保護可能なオブジェクトに対するアクセス許可を取り消す。	permission
sqlPermissions	showPermissions	ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を表示する。	securable principal

SSH イベント

次の ssh イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
ssh	login	Spark ドライバーへの SSH のエージェント ログイン。	containerId userName port publicKey instanceId
ssh	logout	Spark ドライバーからの SSH のエージェント ログアウト。	userName containerId instanceId

ベクトル検索イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の vectorSearch イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
vectorSearch	createEndpoint	ユーザーがベクトル検索エンドポイントを作成します。	name endpoint_type
vectorSearch	deleteEndpoint	ユーザーがベクトル検索エンドポイントを削除します。	name
vectorSearch	createVectorIndex	ユーザーがベクトル検索インデックスを作成します。	name endpoint_name primary_key index_type delta_sync_index_spec direct_access_index_spec
vectorSearch	deleteVectorIndex	ユーザーがベクトル検索インデックスを削除します。	name endpoint_name delete_embedding_writeback_table
vectorSearch	changeEndpointAcl	ユーザーがエンドポイントのアクセス制御リストを変更します。	name endpoint_name access_control_list
vectorSearch	queryVectorIndex	ユーザーはベクトル検索インデックスに対してクエリを実行します。	name endpoint_name
vectorSearch	queryVectorIndexNextPage	ユーザーは、ベクトル検索インデックス クエリのページ分割された結果を読み取ります。	name endpoint_name
vectorSearch	scanVectorIndex	ユーザーはベクトル検索インデックス内のすべてのデータをスキャンします。	name endpoint_name
vectorSearch	upsertDataVectorIndex	ユーザーは、Direct Access ベクトル検索インデックス内のデータをアップサートします。	name endpoint_name
vectorSearch	deleteDataVectorIndex	ユーザーは、Direct Access ベクトル検索インデックス内のデータを削除します。	name endpoint_name
vectorSearch	queryVectorIndexRouteOptimized	ユーザーは、低遅延 API ルートを使用してベクトル検索インデックスに対してクエリを実行します。	name endpoint_name
vectorSearch	queryVectorIndexNextPageRouteOptimized	ユーザーは、低遅延 API ルートを使用して、ベクトル検索インデックス クエリのページ分割された結果を読み取ります。	name endpoint_name
vectorSearch	scanVectorIndexRouteOptimized	ユーザーは、低遅延 API ルートを使用して、ベクトル検索インデックス内のすべてのデータをスキャンします。	name endpoint_name
vectorSearch	upsertDataVectorIndexRouteOptimized	ユーザーは、低遅延 API ルートを使用して、Direct Access ベクトル検索インデックス内のデータをアップサートします。	name endpoint_name
vectorSearch	deleteDataVectorIndexRouteOptimized	ユーザーは、低遅延 API ルートを使用して、Direct Access ベクトル検索インデックス内のデータを削除します。	name endpoint_name

Web ターミナル イベント

次の webTerminal イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
webTerminal	startSession	ユーザーが Web ターミナル セッションを開始する。	socketGUID clusterId serverPort ProxyTargetURI
webTerminal	closeSession	ユーザーが Web ターミナル セッションを終了する。	socketGUID clusterId serverPort ProxyTargetURI

ワークスペース イベント

次の workspace イベントがワークスペース レベルでログされます。

サービス	アクション名	説明	要求パラメーター
workspace	changeWorkspaceAcl	ワークスペースへのアクセス許可が変更される。	shardName targetUserId aclPermissionSet resourceId
workspace	deleteSetting	ワークスペースから設定が削除される。	settingKeyTypeName settingKeyName settingTypeName settingName
workspace	fileCreate	ユーザーがワークスペースにファイルを作成する。	path
workspace	fileDelete	ユーザーがワークスペース内のファイルを削除する。	path
workspace	fileEditorOpenEvent	ユーザーがファイル エディターを開く。	notebookId path
workspace	getRoleAssignment	ユーザーがワークスペースのユーザー ロールを取得する。	account_id workspace_id
workspace	mintOAuthAuthorizationCode	社内の OAuth 認可コードがワークスペース レベルで作成されたときに記録される。	client_id
workspace	mintOAuthToken	OAuth トークンがワークスペースに対して作成される。	grant_type scope expires_in client_id
workspace	moveWorkspaceNode	ワークスペース管理者がワークスペース ノードを移動する。	destinationPath path
workspace	purgeWorkspaceNodes	ワークスペース管理者がワークスペース ノードを消去する。	treestoreId
workspace	reattachHomeFolder	ワークスペースに再追加されたユーザーに対して既存のホーム フォルダーが再アタッチされる。	path
workspace	renameWorkspaceNode	ワークスペース管理者がワークスペース ノードの名前を変更する。	path destinationPath
workspace	unmarkHomeFolder	ユーザーがワークスペースから削除されるときに、ホーム フォルダーの特殊な属性が削除される。	path
workspace	updateRoleAssignment	ワークスペース管理者がワークスペース ユーザーのロールを更新する。	account_id workspace_id principal_id
workspace	updatePermissionAssignment	ワークスペース管理者が、ワークスペースにプリンシパルを追加する。	principal_id permissions
workspace	setSetting	ワークスペース管理者がワークスペース設定を構成する。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
workspace	workspaceConfEdit	ワークスペース管理者が設定を更新する (詳細監査ログの有効化など)。	workspaceConfKeys workspaceConfValues
workspace	workspaceExport	ユーザーがワークスペースからノートブックをエクスポートする。	workspaceExportDirectDownload workspaceExportFormat notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	OAuth クライアントがワークスペース サービスで認証される。	user

アカウント アクセス制御イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の accountsAccessControl イベントはアカウント レベルでログに記録され、アカウント アクセス制御 API (パブリック プレビュー) に関連しています。

サービス	アクション名	説明	要求パラメーター
accountsAccessControl	updateRuleSet	ユーザーが、アカウント アクセス制御 API を使用してルール セットを更新します。	account_id name: ルール セットの名前 rule_set authz_identity

課金対象利用イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の accountBillableUsage イベントがアカウント レベルでログされます。

サービス	アクション	説明	要求パラメーター
accountBillableUsage	getAggregatedUsage	ユーザーが、使用状況グラフ機能を使用し、アカウントに対して集計された課金対象使用状況 (1 日あたりの使用量) にアクセスした。	account_id window_size start_time end_time meter_name workspace_ids_filter
accountBillableUsage	getDetailedUsage	ユーザーが、使用状況のダウンロード機能を使用し、アカウントに対する詳細な課金対象使用状況 (クラスターあたりの使用量) にアクセスした。	account_id start_month end_month with_pii

アカウントごとのイベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の accounts イベントがアカウント レベルでログされます。

サービス	アクション	説明	要求パラメーター
accounts	accountInHouseOAuthClientAuthentication	OAuth クライアントが認証される。	endpoint user: 電子メール アドレスとしてログに記録されます authenticationMethod
accounts	accountIpAclsValidationFailed	IP アクセス許可の検証が失敗する。 statusCode 403 が返される。	sourceIpAddress user: 電子メール アドレスとしてログに記録されます
accounts	activateUser	ユーザーが、非アクティブ化された後に再アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。	targetUserName endpoint targetUserId
accounts	add	ユーザーが Azure Databricks アカウントに追加される。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	ユーザーがアカウント レベルのグループに追加される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addPrincipalsToGroup	ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループに追加される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	createGroup	アカウント レベルのグループが作成される。	endpoint targetGroupId targetGroupName
accounts	deactivateUser	ユーザーが非アクティブ化される。 アカウントでのユーザーの非アクティブ化に関するページを参照してください。	targetUserName endpoint targetUserId
accounts	delete	ユーザーが Azure Databricks アカウントから削除される。	targetUserId targetUserName endpoint
accounts	deleteSetting	アカウント管理者が Azure Databricks アカウントから設定を削除する。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	garbageCollectDbToken	ユーザーが期限切れのトークンに対してガベージ コレクト コマンドを実行する。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed tokenHash
accounts	generateDbToken	ユーザーが [ユーザー設定] からトークンを生成するか、サービスがトークンを生成する。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	login	ユーザーがアカウント コンソールにログインする。	user authenticationMethod
accounts	logout	ユーザーがアカウント コンソールからログアウトする。	user
accounts	oidcBrowserLogin	ユーザーが OpenID Connect ブラウザー ワークフローを使用して自分のアカウントにログインする。	user
accounts	oidcTokenAuthorization	OIDC トークンがアカウント管理者ログインに対して認証される。	user authenticationMethod
accounts	removeAccountAdmin	アカウント管理者がアカウント管理者のアクセス許可を別のユーザーから削除する。	targetUserName endpoint targetUserId
accounts	removeGroup	グループがアカウントから削除される。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	ユーザーがアカウントレベルのグループから削除される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	removePrincipalsFromGroup	ユーザーが、SCIM プロビジョニングを使用してアカウントレベルのグループから削除される。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	setAccountAdmin	アカウント管理者がアカウント管理者ロールを別のユーザーに割り当てる。	targetUserName endpoint targetUserId
accounts	setSetting	アカウント管理者がアカウントレベルの設定を更新する。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	tokenLogin	ユーザーがトークンを使用して Databricks にログインする。	tokenId user authenticationMethod
accounts	updateUser	アカウント管理者がユーザー アカウントを更新する。	targetUserName endpoint targetUserId
accounts	updateGroup	アカウント管理者がアカウントレベルのグループを更新する。	endpoint targetGroupId targetGroupName
accounts	validateEmail	ユーザーがアカウントの作成後にメールを検証するとき。	endpoint targetUserName targetUserId

アカウント管理イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の accountsManager イベントがアカウント レベルでログされます。 これらのイベントは、アカウント コンソールでアカウント管理者が行う構成と関連しています。

サービス	アクション	説明	要求パラメーター
accountsManager	createNetworkConnectivityConfig	アカウント管理者がネットワーク接続構成を作成しました。	network_connectivity_config account_id
accountsManager	getNetworkConnectivityConfig	アカウント管理者がネットワーク接続構成に関する詳細を要求します。	account_id network_connectivity_config_id
accountsManager	listNetworkConnectivityConfigs	アカウント管理者がアカウント内のすべてのネットワーク接続構成を一覧表示します。	account_id
accountsManager	deleteNetworkConnectivityConfig	アカウント管理者がネットワーク接続構成を削除しました。	account_id network_connectivity_config_id
accountsManager	createNetworkConnectivityConfigPrivateEndpointRule	アカウント管理者がプライベート エンドポイントルールを作成しました。	account_id network_connectivity_config_id azure_private_endpoint_rule
accountsManager	getNetworkConnectivityConfigPrivateEndpointRule	アカウント管理者がプライベート エンドポイントルールに関する詳細を要求します。	account_id network_connectivity_config_id rule_id
accountsManager	listNetworkConnectivityConfigPrivateEndpointRules	アカウント管理者がネットワーク接続構成の下にあるすべてのプライベート エンドポイントルールを一覧表示します。	account_id network_connectivity_config_id page_token
accountsManager	deleteNetworkConnectivityConfigPrivateEndpointRule	アカウント管理者がプライベート エンドポイントルールを削除しました。	account_id network_connectivity_config_id rule_id
accountsManager	updateNetworkConnectivityConfigPrivateEndpointRule	アカウント管理者がプライベート エンドポイントルールを更新しました。	account_id network_connectivity_config_id rule_id azure_private_endpoint_rule

サーバーレス予算ポリシー イベント

次の budgetPolicyCentral イベントはアカウント レベルでログに記録され、サーバーレス予算ポリシーに関連します。 サーバーレス予算ポリシー属性の使用を参照してください。

サービス	アクション	説明	要求パラメーター
budgetPolicyCentral	createBudgetPolicy	ワークスペース管理者または課金管理者は、サーバーレス予算ポリシーを作成します。 新しい policy_id が response 列に記録されます。	policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース管理者、課金管理者、またはポリシー マネージャーは、サーバーレス予算ポリシーを更新します。	policy.policy_id policy.policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース管理者、課金管理者、またはポリシー マネージャーは、サーバーレス予算ポリシーを削除します。	policy_id

Clean Rooms イベント

次の clean-room イベントがアカウント レベルでログされます。

サービス	アクション	説明	要求パラメーター
clean-room	createCleanRoom	Databricks アカウントのユーザーが、UI または API を使用して新しいクリーン ルームを作成します。	clean_room_name cloud_vendor collaborators metastore_id region workspace_id
clean-room	createCleanRoomOutputCatalog	Databricks アカウントのユーザーが、UI または API を使用して、クリーン ルームに出力テーブルを作成します。	clean_room_name output_catalog_name metastore_id workspace_id
clean-room	deleteCleanRoom	Databricks アカウントのユーザーが、UI または API を使用してクリーン ルームを削除します。	clean_room_name metastore_id workspace_id
clean-room	getCleanRoom	アカウント内のユーザーが、UI または API を使用して、クリーン ルームに関する詳細を取得します。	clean_room_name metastore_id workspace_id
clean-room	getCleanRoomAsset	アカウント内のユーザーが、UI を使用して、クリーン ルームのデータ資産に関する詳細を表示します。	asset_full_name metastore_id workspace_id asset_type clean_room_name collaborator_global_metastore_id
clean-room	listCleanRooms	ユーザーが、ワークスペース UI を使用してすべてのクリーン ルームの一覧を取得するか、API を使用してメタストア内のすべてのクリーン ルームの一覧を取得します。	metastore_id workspace_id
clean-room	updateCleanRoom	アカウント内のユーザーが、クリーン ルームの詳細または資産を更新します。	added_assets clean_room_name owner metastore_id workspace_id updated_assets removed_assets

Unity Catalog イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

次の診断イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスの下でログに記録されます。 Delta Sharing イベントについては、「Delta Sharing イベント」参照してください。 Unity Catalog 監視イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログできます。

サービス	アクション	説明	要求パラメーター
unityCatalog	createMetastore	アカウント管理者がメタストアを作成する。	name storage_root workspace_id metastore_id
unityCatalog	getMetastore	アカウント管理者がメタストア ID を要求する。	id workspace_id metastore_id
unityCatalog	getMetastoreSummary	アカウント管理者がメタストアに関する詳細を要求する。	workspace_id metastore_id
unityCatalog	listMetastores	アカウント管理者がアカウント内のすべてのメタストアの一覧を要求する。	workspace_id
unityCatalog	updateMetastore	アカウント管理者がメタストアを更新する。	id owner workspace_id metastore_id
unityCatalog	deleteMetastore	アカウント管理者がメタストアを削除する。	id force workspace_id metastore_id
unityCatalog	updateMetastoreAssignment	アカウント管理者がメタストアのワークスペース割り当てを更新する。	workspace_id metastore_id default_catalog_name
unityCatalog	createExternalLocation	アカウント管理者が外部の場所を作成する。	name skip_validation url credential_name workspace_id metastore_id
unityCatalog	getExternalLocation	アカウント管理者が外部の場所に関する詳細を要求する。	name_arg include_browse workspace_id metastore_id
unityCatalog	listExternalLocations	アカウント管理者がアカウント内のすべての外部の場所の一覧を要求する。	url max_results workspace_id metastore_id
unityCatalog	updateExternalLocation	アカウント管理者が外部ストレージを更新する。	name_arg owner workspace_id metastore_id
unityCatalog	deleteExternalLocation	アカウント管理者が外部の場所を削除する。	name_arg force workspace_id metastore_id
unityCatalog	createCatalog	ユーザーがカタログを作成する。	name comment workspace_id metastore_id
unityCatalog	deleteCatalog	ユーザーがカタログを削除する。	name_arg workspace_id metastore_id
unityCatalog	getCatalog	ユーザーがカタログに関する詳細を要求する。	name_arg dependent workspace_id metastore_id
unityCatalog	updateCatalog	ユーザーがカタログを更新する。	name_arg isolation_mode comment workspace_id metastore_id
unityCatalog	listCatalog	ユーザーがメタストア内のすべてのカタログを一覧表示する呼び出しを行う。	name_arg workspace_id metastore_id
unityCatalog	createSchema	ユーザーがスキーマを作成する。	name catalog_name comment workspace_id metastore_id
unityCatalog	deleteSchema	ユーザーがスキーマを削除する。	full_name_arg force workspace_id metastore_id
unityCatalog	getSchema	ユーザーがスキーマに関する詳細を要求する。	full_name_arg dependent workspace_id metastore_id
unityCatalog	listSchema	ユーザーがカタログ内のすべてのスキーマの一覧を要求する。	catalog_name
unityCatalog	updateSchema	ユーザーがスキーマを更新する。	full_name_arg name workspace_id metastore_id comment
unityCatalog	createStagingTable		name catalog_name schema_name workspace_id metastore_id
unityCatalog	createTable	ユーザーがテーブルを作成する。 要求パラメーターは、作成されたテーブルの種類によって異なります。	name data_source_format catalog_name schema_name storage_location columns dry_run table_type view_dependencies view_definition sql_path comment
unityCatalog	deleteTable	ユーザーがテーブルを削除する。	full_name_arg workspace_id metastore_id
unityCatalog	getTable	ユーザーがテーブルに関する詳細を要求する。	include_delta_metadata full_name_arg dependent workspace_id metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	ユーザーがスキーマ内のすべてのテーブルを一覧表示する呼び出しを行う。	catalog_name schema_name workspace_id metastore_id include_browse
unityCatalog	listTableSummaries	ユーザーがメタストア内のスキーマとカタログについてのテーブルのまとめの配列を取得する。	catalog_name schema_name_pattern workspace_id metastore_id
unityCatalog	updateTables	ユーザーがテーブルを更新する。 表示される要求パラメーターは、行われたテーブル更新の種類によって異なります。	full_name_arg table_type table_constraint_list data_source_format columns dependent row_filter storage_location sql_path view_definition view_dependencies owner comment workspace_id metastore_id
unityCatalog	createStorageCredential	アカウント管理者がストレージ資格情報を作成する。 クラウド プロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。	name comment workspace_id metastore_id
unityCatalog	listStorageCredentials	アカウント管理者がアカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行う。	workspace_id metastore_id
unityCatalog	getStorageCredential	アカウント管理者がストレージ資格情報に関する詳細を要求する。	name_arg workspace_id metastore_id
unityCatalog	updateStorageCredential	アカウント管理者がストレージ資格情報を更新する。	name_arg owner workspace_id metastore_id
unityCatalog	deleteStorageCredential	アカウント管理者がストレージ資格情報を削除する。	name_arg workspace_id metastore_id
unityCatalog	generateTemporaryTableCredential	テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して誰が何をいつクエリしたかを判断できます。	credential_id credential_type credential_kind is_permissions_enforcing_client table_full_name operation table_id workspace_id table_url metastore_id
unityCatalog	generateTemporaryPathCredential	パスに対して一時的な資格情報が付与されるたびにログに記録されます。	url operation make_path_only_parent credential_kind fallback_enabled workspace_id metastore_id
unityCatalog	checkPathAccess	特定のパスに対してユーザーのアクセス許可が確認されるたびにログに記録されます。	path fallback_enabled
unityCatalog	getPermissions	ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得する呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getEffectivePermissions	ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得する呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	updatePermissions	ユーザーがセキュリティ保護可能なオブジェクトのアクセス許可を更新する。	securable_type changes securable_full_name workspace_id metastore_id
unityCatalog	metadataSnapshot	ユーザーが以前のテーブル バージョンのメタデータに対してクエリを実行する。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	metadataAndPermissionsSnapshot	ユーザーが以前のテーブル バージョンのメタデータとアクセス許可に対してクエリを実行する。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	updateMetadataSnapshot	ユーザーが以前のテーブル バージョンのメタデータを更新する。	table_list_snapshots schema_list_snapshots workspace_id metastore_id
unityCatalog	getForeignCredentials	ユーザーが外部キーに関する詳細を取得する呼び出しを行う。	securables workspace_id metastore_id
unityCatalog	getInformationSchema	ユーザーがスキーマに関する詳細を取得する呼び出しを行う。	table_name page_token required_column_names row_set_type required_column_names workspace_id metastore_id
unityCatalog	createConstraint	ユーザーがテーブルの制約を作成する。	full_name_arg constraint workspace_id metastore_id
unityCatalog	deleteConstraint	ユーザーがテーブルの制約を削除する。	full_name_arg constraint workspace_id metastore_id
unityCatalog	createPipeline	ユーザーが Unity Catalog パイプラインを作成する。	target_catalog_name has_workspace_definition id workspace_id metastore_id
unityCatalog	updatePipeline	ユーザーが Unity Catalog パイプラインを更新する。	id_arg definition_json id workspace_id metastore_id
unityCatalog	getPipeline	ユーザーが Unity Catalog パイプラインに関する詳細を要求する。	id workspace_id metastore_id
unityCatalog	deletePipeline	ユーザーが Unity Catalog パイプラインを削除する。	id workspace_id metastore_id
unityCatalog	deleteResourceFailure	リソースの削除に失敗する	なし
unityCatalog	createVolume	ユーザーが Unity Catalog ボリュームを作成する。	name catalog_name schema_name volume_type storage_location owner comment workspace_id metastore_id
unityCatalog	getVolume	ユーザーが Unity Catalog ボリュームに関する情報を取得するための呼び出しを行う。	volume_full_name workspace_id metastore_id
unityCatalog	updateVolume	ユーザーは、ALTER VOLUME または COMMENT ON を呼び出して Unity Catalog ボリュームのメタデータを更新します。	volume_full_name name owner comment workspace_id metastore_id
unityCatalog	deleteVolume	ユーザーが Unity Catalog ボリュームを削除する。	volume_full_name workspace_id metastore_id
unityCatalog	listVolumes	ユーザーが呼び出しを行って、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得する。	catalog_name schema_name workspace_id metastore_id
unityCatalog	generateTemporaryVolumeCredential	ユーザーがボリュームに対して読み取りまたは書き込みを実行すると、一時的な資格情報が生成されます。 このイベントを使用して誰がいつボリュームにアクセスしたかを判断できます。	volume_id volume_full_name operation volume_storage_location credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	getTagSecurableAssignments	セキュリティ保護可能なタグの割り当てが取得されます	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getTagSubentityAssignments	サブエンティティのタグ割り当てが取得されます	securable_type securable_full_name workspace_id metastore_id subentity_name
unityCatalog	UpdateTagSecurableAssignments	セキュリティ保護可能なタグの割り当てが更新されます	securable_type securable_full_name workspace_id metastore_id changes
unityCatalog	UpdateTagSubentityAssignments	サブエンティティのタグ割り当てが更新されます	securable_type securable_full_name workspace_id metastore_id subentity_name changes
unityCatalog	createRegisteredModel	ユーザーが Unity Catalog 登録済みモデルを作成する。	name catalog_name schema_name owner comment workspace_id metastore_id
unityCatalog	getRegisteredModel	ユーザーが Unity Catalog 登録済みのモデルに関する情報を取得するための呼び出しを行う。	full_name_arg workspace_id metastore_id
unityCatalog	updateRegisteredModel	ユーザーが Unity Catalog 登録済みモデルのメタデータを更新する。	full_name_arg name owner comment workspace_id metastore_id
unityCatalog	deleteRegisteredModel	ユーザーが Unity Catalog 登録済みモデルを削除する。	full_name_arg workspace_id metastore_id
unityCatalog	listRegisteredModels	ユーザーが、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ全体でモデルを一覧表示する呼び出しを行う。	catalog_name schema_name max_results page_token workspace_id metastore_id
unityCatalog	createModelVersion	ユーザーが Unity Catalog にモデル バージョンを作成する。	catalog_name schema_name model_name source comment workspace_id metastore_id
unityCatalog	finalizeModelVersion	ユーザーがモデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「最終処理」する呼び出しを行い、推論ワークフローで読み取り専用で使用できるようにする。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersion	ユーザーがモデル バージョンに関する詳細を取得する呼び出しを行う。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersionByAlias	ユーザーが別名を使用してモデル バージョンに関する詳細を取得する呼び出しを行う。	full_name_arg include_aliases alias_arg workspace_id metastore_id
unityCatalog	updateModelVersion	ユーザーがモデル バージョンのメタデータを更新する。	full_name_arg version_arg name owner comment workspace_id metastore_id
unityCatalog	deleteModelVersion	ユーザーがモデル バージョンを削除する。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	listModelVersions	ユーザーが登録済みモデル内の Unity Catalog モデル バージョンの一覧を取得するための呼び出しを行う。	catalog_name schema_name model_name max_results page_token workspace_id metastore_id
unityCatalog	generateTemporaryModelVersionCredential	一時的な資格情報は、ユーザーがモデル バージョンで書き込み (最初のモデル バージョンの作成中) または読み取り (モデル バージョンが終了した後) を実行したときに生成されます。 このイベントを使用して誰がいつモデル バージョンにアクセスしたかを判断できます。	full_name_arg version_arg operation model_version_url credential_id credential_type credential_kind workspace_id metastore_id
unityCatalog	setRegisteredModelAlias	ユーザーが Unity Catalog 登録済みモデルに別名を設定する。	full_name_arg alias_arg version
unityCatalog	deleteRegisteredModelAlias	ユーザーが Unity Catalog 登録済みモデルの別名を削除する。	full_name_arg alias_arg
unityCatalog	getModelVersionByAlias	ユーザーが別名で Unity Catalog モデル バージョンを取得する。	full_name_arg alias_arg
unityCatalog	createConnection	新しい外部接続が作成される。	name connection_type workspace_id metastore_id
unityCatalog	deleteConnection	外部接続が削除される。	name_arg workspace_id metastore_id
unityCatalog	getConnection	外部接続が取得される。	name_arg workspace_id metastore_id
unityCatalog	updateConnection	外部接続が更新される。	name_arg owner workspace_id metastore_id
unityCatalog	listConnections	メタストア内の外部接続が一覧表示される。	workspace_id metastore_id
unityCatalog	createFunction	ユーザーが新しい関数を作成する。	function_info workspace_id metastore_id
unityCatalog	updateFunction	ユーザーが関数を更新する。	full_name_arg owner workspace_id metastore_id
unityCatalog	listFunctions	ユーザーが特定の親カタログまたはスキーマ内にあるすべての関数のリストを要求する。	catalog_name schema_name include_browse workspace_id metastore_id
unityCatalog	getFunction	ユーザーが親カタログまたはスキーマに関数を要求する。	full_name_arg workspace_id metastore_id
unityCatalog	deleteFunction	ユーザーが親カタログまたはスキーマに関数を要求する。	full_name_arg workspace_id metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	generateTemporaryServiceCredential	Databricks からクラウド サービス アカウントにアクセスするための一時的な資格情報が生成されます。	credential_id credential_type credential_kind workspace_id metastore_id

Delta Sharing イベント

注意

このサービスは、Azure 診断設定では使用できません。 これらのイベントにアクセスするには、監査ログ システム テーブルを有効にしてください。

Delta Sharing イベントは、データ プロバイダー アカウントに記録されたイベントと、データ受信者アカウントに記録されたイベントの 2 つのセクションに分かれています。

デルタ シェアリング プロバイダー イベント

次の監査ログ イベントは、プロバイダーのアカウントのログに記録されます。 受信者によって実行されるアクションは、deltaSharing プレフィックスで始まります。 その各ログには、request_params.metastore_id (共有データを管理するメタストア) と、userIdentity.email (アクティビティを開始したユーザーの ID) も含まれます。

サービス	アクション	説明	要求パラメーター
unityCatalog	deltaSharingListShares	データ受信者が共有リストを要求する。	options: この要求で提供されるページネーションのオプション。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingGetShare	データ受信者が共有に関する詳細を要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListSchemas	データ受信者が共有スキーマを要求する。	share: 銘柄名。 recipient_name: アクションを実行している受信者を示します。 options: この要求で提供されるページネーションのオプション。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListAllTables	データ受信者がすべての共有テーブルのリストを要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListTables	データ受信者が共有テーブル リストを要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 options: この要求に提供されるページネーションオプション。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingGetTableMetadata	データ受信者がテーブルのメタデータに関する詳細を要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 schema: スキーマの名前。 name: テーブルの名前。 predicateHints: クエリに含まれる述語。 limitHints: 返される行の最大数。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingGetTableVersion	データ受信者がテーブル バージョンに関する詳細を要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 schema: スキーマの名前。 name: テーブルの名前。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingQueryTable	データ受信者が共有テーブルにクエリを実行したときにログに記録される。	share: 株式の名称。 recipient_name: アクションを実行している受信者を示します。 schema: スキーマの名前。 name: テーブルの名前。 predicateHints: クエリに含まれる述語。 limitHints: 返される行の最大数。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingQueryTableChanges	データ受信者がテーブルの変更データにクエリを実行したときにログに記録される。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 schema: スキーマの名前。 name: テーブルの名前。 cdf_options: データ フィードのオプションを変更します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingQueriedTable	データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照)	recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingQueriedTableChanges	データ受信者がクエリに対する応答を取得した後にログに記録される。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれる (データ共有の監査と監視に関するページを参照)。	recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListNotebookFiles	データ受信者が共有ノートブック ファイルのリストを要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingQueryNotebookFile	データ受信者が共有ノートブック ファイルにクエリを実行する。	file_name: ノートブック ファイルの名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListFunctions	データ受信者が、親スキーマ内の関数のリストを要求する。	share: 共有の名前。 schema: 関数の親スキーマの名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListAllFunctions	データ受信者がすべての共有関数のリストを要求する。	share: 共有の名前。 schema: 関数の親スキーマの名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListFunctionVersions	データ受信者が関数バージョンのリストを要求する。	share: 共有の名前。 schema: 関数の親スキーマの名前。 function: 関数の名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListVolumes	データ受信者がスキーマ内の共有ボリュームのリストを要求する。	share: 共有の名前。 schema: ボリュームの親スキーマ。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	deltaSharingListAllVolumes	データ受信者がすべての共有ボリュームを要求する。	share: 共有の名前。 recipient_name: アクションを実行している受信者を示します。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否されたときは true、拒否されなかったときは false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	updateMetastore	プロバイダーがメタストアを更新する。	delta_sharing_scope: 値は INTERNAL または INTERNAL_AND_EXTERNALできます。 delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合は、受信者トークンの有効期間が更新されたことを示します。
unityCatalog	createRecipient	プロバイダーがデータ受信者を作成する。	name: 受信者の名前。 comment: 受信者のコメント。 ip_access_list.allowed_ip_addresses: 受信者 IP アドレス許可リスト。
unityCatalog	deleteRecipient	プロバイダーがデータ受信者を削除する。	name: 受信者の名前。
unityCatalog	getRecipient	プロバイダーがデータ受信者に関する詳細を要求する。	name: 受信者の名前。
unityCatalog	listRecipients	プロバイダーがすべてのデータ受信者のリストを要求する。	なし
unityCatalog	rotateRecipientToken	プロバイダーが受信者のトークンのローテーションを行う。	name: 受信者の名前。 comment: 回転コマンドで指定されたコメント。
unityCatalog	updateRecipient	プロバイダーがデータ受信者の属性を更新する。	name: 受信者の名前。 updates: 共有に追加または削除された受信者属性の JSON 表現。
unityCatalog	createShare	プロバイダーがデータ受信者の属性を更新する。	name: 株式の名称。 comment: 共有のコメント。
unityCatalog	deleteShare	プロバイダーがデータ受信者の属性を更新する。	name: 株式の名称。
unityCatalog	getShare	プロバイダーが共有に関する詳細を要求する。	name: 共有の名前。 include_shared_objects: 共有のテーブル名が要求に含まれているかどうか。
unityCatalog	updateShare	プロバイダーが共有からデータ資産を追加または削除する。	name: 共有の名前。 updates: 共有に追加または削除されたデータ資産の JSON 表現。 各項目には、action (追加または削除)、name (テーブルの実際の名前)、shared_as (資産の共有された名前 (実際の名前と異なる場合))、および partition_specification (パーテションの仕様が指定されていた場合) が含まれる。
unityCatalog	listShares	プロバイダーが共有リストを要求する。	なし
unityCatalog	getSharePermissions	プロバイダーが共有のアクセス許可に関する詳細を要求する。	name: 共有の名前。
unityCatalog	updateSharePermissions	プロバイダーは共有のアクセス許可を更新する。	name: 共有の名前。 changes: 更新されたアクセス許可の JSON 表現。 各変更には、principal (アクセス許可を付与または取り消すユーザーまたはグループ)、add (付与されたアクセス許可のリスト)、および remove (取り消されたアクセス許可のリスト) が含まれる。
unityCatalog	getRecipientSharePermissions	プロバイダーが受信者の共有アクセス許可に関する詳細を要求する。	name: 共有の名前。
unityCatalog	getActivationUrlInfo	プロバイダーがアクティブ化リンクのアクティビティに関する詳細を要求する。	recipient_name: アクティブ化 URL を開いた受信者の名前。 is_ip_access_denied: IP アクセス リストが構成されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、および要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレス。
unityCatalog	generateTemporaryVolumeCredential	受信者が共有ボリュームにアクセスするための一時的な資格情報が生成される。	share_name: 受信者が要求を行う際に使用する共有の名前。 share_id: 共有の識別子。 share_owner: 株式の所有者。 recipient_name: 資格情報を要求する受信者の名前。 recipient_id: 受信者の ID。 volume_full_name: ボリュームの完全な 3 レベルの名前。 volume_id: ボリュームの ID。 volume_storage_location: ボリューム ルートのクラウド パス。 operation: READ_VOLUME または WRITE_VOLUME のいずれか。 ボリューム共有の場合は、READ_VOLUME だけがサポートされます。 credential_id: 資格情報の ID。 credential_type: 資格情報の種類。 値は StorageCredential または ServiceCredentialです。 credential_kind: アクセスの承認に使用するメソッド。 workspace_id: 要求が共有ボリュームの場合、値は常に 0 されます。
unityCatalog	generateTemporaryTableCredential	受信者が共有テーブルにアクセスするための一時的な資格情報が生成される。	share_name: 受信者が要求するときに経由する共有の名前。 share_id: 共有の ID。 share_owner: 株式の所有者。 recipient_name: 資格情報を要求する受信者の名前。 recipient_id: 受信者の ID。 table_full_name: テーブルの完全な 3 レベルの名前。 table_id: テーブルの ID。 table_url: テーブル ルートのクラウド パス。 operation: READ または READ_WRITE のいずれか。 credential_id: 資格情報の ID。 credential_type: 資格情報の種類。 値は StorageCredential または ServiceCredentialです。 credential_kind: アクセスの承認に使用するメソッド。 workspace_id: 共有テーブルに対する要求の場合、値は常に 0 されます。

Delta Sharing 受信者イベント

次のイベントは、データ受信者のアカウントのログに記録されます。 これらのイベントにより、共有データと AI 資産の受信者アクセスと、プロバイダーの管理に関連付けられているイベントが記録されます。 これらの各イベントには、次の要求パラメーターも含まれています。

• recipient_name: データ プロバイダーのシステム内の受信者の名前。
• metastore_id: データ プロバイダーのシステム内のメタストアの名前。
• sourceIPAddress: 要求元の IP アドレス。

サービス	アクション	説明	要求パラメーター
unityCatalog	deltaSharingProxyGetTableVersion	データ受信者が共有テーブル バージョンに関する詳細を要求する。	share: 共有の名前。 schema: テーブルの親スキーマの名前。 name: テーブルの名前。
unityCatalog	deltaSharingProxyGetTableMetadata	データ受信者が共有テーブルのメタデータに関する詳細を要求する。	share: 共有の名前。 schema: テーブルの親スキーマの名前。 name: テーブルの名前。
unityCatalog	deltaSharingProxyQueryTable	データ受信者が共有テーブルにクエリを実行する。	share: 共有の名前。 schema: テーブルの親スキーマの名前。 name: テーブルの名前。 limitHints: 返される行の最大数。 predicateHints: クエリに含まれる述語。 version: 変更データ フィードが有効になっている場合はテーブル バージョン。
unityCatalog	deltaSharingProxyQueryTableChanges	データ受信者がテーブルの変更データをクエリする。	share: 共有の名前。 schema: テーブルの親スキーマの名前。 name: テーブルの名前。 cdf_options: データ フィードのオプションを変更します。
unityCatalog	createProvider	データ受信者がプロバイダー オブジェクトを作成する。	name: プロバイダーの名前。 comment: プロバイダーのコメント。
unityCatalog	updateProvider	データ受信者がプロバイダー オブジェクトを更新する。	name: プロバイダーの名前。 updates: 共有に追加または削除されたプロバイダー属性の JSON 表現。 各項目に action (追加または削除) が含まれ、name (新しいプロバイダー名)、owner (新しい所有者)、および comment を含めることができる。
unityCatalog	deleteProvider	データ受信者がプロバイダー オブジェクトを削除する。	name: プロバイダーの名前。
unityCatalog	getProvider	データ受信者がプロバイダー オブジェクトに関する詳細を要求する。	name: プロバイダーの名前。
unityCatalog	listProviders	データ受信者がプロバイダー リストを要求する。	なし
unityCatalog	activateProvider	データ受信者がプロバイダー オブジェクトをアクティブにする。	name: プロバイダーの名前。
unityCatalog	listProviderShares	データ受信者がプロバイダーの共有リストを要求する。	name: プロバイダーの名前。

追加のセキュリティ監視イベント

クラスター用やプロまたはクラシック SQL ウェアハウス用の VM など、クラシック コンピューティング プレーン内の Azure Databricks コンピューティング リソースの場合は、次の機能を使うと追加の監視エージェントが有効になります。

• 拡張セキュリティ監視
• コンプライアンス セキュリティ プロファイル。

ファイルの整合性の監視イベント

次の capsule8-alerts-dataplane イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
capsule8-alerts-dataplane	Heartbeat	モニターがオンになっていることを確認するための定期的なイベント。 現在は 10 分ごとに実行されます。	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	重要なシステム ファイルの整合性を監視します。 それらのファイルで承認されていない変更が行われたら、アラートを生成します。 Databricks ではイメージに対して特定のシステム パスのセットが定義されており、このパスのセットは時間が経つと変化する可能性があります。	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemd 以外のプログラムによって systemctl ユニット ファイルが変更されたら、常にアラートを生成します。	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	繰り返し発生するプログラムのクラッシュは、攻撃者がメモリ破損の脆弱性を悪用しようとしていること、または影響を受けるアプリケーションに安定性の問題があることを、示している可能性があります。 セグメント化エラーによってクラッシュした個々のプログラムのインスタンスが 5 個を超えたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	コンテナーは通常静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示す可能性があります。 30 分以内に作成または変更されたファイルがコンテナー内で実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	New File Executed in Container	アプリケーションが悪用されていると、悪意のあるコードを実行できるようにするため、メモリが実行可能としてマークされることがよくあります。 プログラムによってヒープまたはスタック メモリのアクセス許可が実行可能に設定されたら、アラートを生成します。 これにより、特定のアプリケーション サーバーで擬陽性が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	最新の運用インフラストラクチャでは、対話型シェルが発生することはほとんどありません。 リバース シェルでよく使われる引数を使って対話型シェルが開始されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	コマンド ログの回避は、攻撃者がよく行うことですが、正当なユーザーが承認されていないアクションを実行していること、またはポリシーを回避しようとしていることを示している可能性もあります。 ユーザー コマンド履歴ログに対する変更が検出されたら、アラートを生成します。これは、ユーザーがコマンド ログを回避しようとしていることを示します。	instanceId
capsule8-alerts-dataplane	BPF Program Executed	一部の種類のカーネル バックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を取得して検出を回避するために BPF ベースのルートキットを読み込んでいることを示す可能性があります。 進行中のインシデントに既に含まれるプロセスの場合、そのプロセスで新しい特権 BPF プログラムが読み込まれたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	攻撃者は通常、悪意のあるカーネル モジュール (ルートキット) を読み込んで検出を回避し、侵害されたノードでの永続性を維持します。 既にプログラムが進行中のインシデントの一部になっている場合、カーネル モジュールが読み込まれたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	攻撃者は、正当なシステム プログラムまたはサービスを偽装するため、悪意のあるバイナリを作成または名前変更して、名前の末尾にスペースを含める可能性があります。 プログラム名の後にスペースが含まれるプログラムが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	カーネル特権エスカレーションが悪用されると、通常、特権を持たないユーザーが、特権の変更に対する標準ゲートを通過することなく、ルート特権を取得できるようになります。 プログラムが通常とは異なる方法で特権を昇格させようとしたら、アラートを生成します。 これにより、ワークロードが多いノードで擬陽性の警告が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	Kernel Exploit	内部カーネル関数は、通常のプログラムからはアクセスできず、それが呼び出された場合、カーネルの悪用が実行され、攻撃者がノードを完全に制御していることの強力な指標になります。 カーネル関数が予期せずユーザー空間に戻ったら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP と SMAP はカーネルの悪用を成功しにくくさせるプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル悪用での一般的な初期ステップです。 プログラムによってカーネルの SMEP/SMAP 構成が改ざんされたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	コンテナー エスケープの悪用で一般的に使われるカーネル関数をプログラムが使用したら、アラートを生成します。これは、攻撃者がコンテナー アクセスからノード アクセスに特権をエスカレートしていることを示します。	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	特権コンテナーはホスト リソースに直接アクセスでき、侵害された場合の影響が大きくなります。 特権コンテナーが起動されたとき、コンテナーが kube-proxy などの既知の特権イメージでない場合に、アラートを生成します。 これにより、正当な特権コンテナーに対する不要な警告が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	Userland Container Escape	多くのコンテナー エスケープでは、ホストによるコンテナー内のバイナリの実行が強制され、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナーによって作成されたファイルがコンテナーの外部から実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、AppArmor がカーネルの悪用またはルートキットによって無効にされたことを示します。 AppArmor の状態が、センサーの開始時に検出された AppArmor の構成から変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	攻撃者は、検出の回避の一環として、AppArmor プロファイルの適用の無効化を試みることがあります。 AppArmor プロファイルを変更するコマンドが実行され、それが SSH セッションでユーザーによって実行されたものではななかった場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Boot Files Modified	ブート ファイルの変更が、信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されたものではない場合、攻撃者がホストへの永続的なアクセスを得るためにカーネルまたはそのオプションを変更していることを示す可能性があります。 新しいカーネルまたはブート構成のインストールを示す、/boot 内のファイルの変更が行われたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Log Files Deleted	ログ管理ツールによって実行されたものではないログの削除は、攻撃者が侵害の証拠を削除しようとしていることを示す可能性があります。 システム ログ ファイルが削除されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	New File Executed	システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルの悪用、または悪用チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	ルート証明書ストアの変更は、ネットワーク トラフィックのインターセプトやコード署名検証のバイパスを可能にする、不正な証明機関のインストールを示している可能性があります。 システム CA 証明書ストアが変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	setuid/setgid ビットの設定を使って、ノードでの特権エスカレーションのための永続的な方法を提供できます。 システム呼び出しの setuid ファミリを使ってファイルで setgid または chmod ビットが設定されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Hidden File Created	攻撃者は、侵害されたホスト上のツールやペイロードが見つからないようにする手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられているプロセスによって隠しファイルが作成されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するため、これらのユーティリティを変更する可能性があります。 承認されていないプロセスによって一般的なシステム ユーティリティが変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	攻撃者または悪意のあるユーザーは、さらに多くのノードを侵害するため、これらのプログラムを使用またはインストールして、接続されたネットワークを調べる可能性があります。 一般的なネットワーク スキャン プログラム ツールが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Network Service Created	攻撃者は、侵害後に、ホストに簡単にアクセスできるよう、新しいネットワーク サービスを開始する可能性があります。 進行中のインシデントに含まれているプログラムが新しいネットワークサービスを開始した場合、アラートが発生します。	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	攻撃者または悪意のあるユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	ファイル転送ツールの使用は、攻撃者がツールセットを別のホストに移動したり、リモート システムにデータを流出させたりしようとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	コマンド アンド コントロール チャネルや暗号通貨マイナーは、通常とは異なるポートに新しいアウトバウンド ネットワーク接続を作成することがよくあります。 進行中のインシデントの一部に既になっているプログラムが、一般的でないポートで新しい接続を開始したら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出のためにデータのサイズを小さくする可能性があります。 既に進行中のインシデントの一部であるデータ圧縮プログラムが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Process Injection	プロセス インジェクション手法の使用は、一般にはユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示す可能性もあります。 プログラムが ptrace (デバッグ) メカニズムを使って別のプロセスと対話したら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	攻撃者は、多くの場合、アカウント列挙プログラムを使ってアクセス レベルを判断し、他のユーザーがノードに現在ログインしているかどうかを確認します。 アカウントの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	ファイル システムの探索は、攻撃者が関心のある資格情報とデータを探すために悪用後に行う、一般的な動作です。 ファイルとディレクトリの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	攻撃者は、横断移動の前に、ローカル ネットワークとルートの情報を問い合わせて、隣接するホストとネットワークを識別する可能性があります。 ネットワーク構成の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	多くの場合、攻撃者は、ノードの目的と、セキュリティまたは監視ツールが設けられているかどうかを確認するため、実行中のプログラムの一覧を取得します。 プロセスの列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	通常、攻撃者は、多くの場合はノードが特定の脆弱性の影響を受けるかどうかを確認するために、システム列挙コマンドを実行して、Linux カーネルとディストリビューションのバージョンと機能を特定します。 システム情報の列挙に関連付けられているプログラムが実行され、そのプログラムが進行中のインシデントの一部に既になっている場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 crontab、at、または batch コマンドを使って、スケジュールされたタスクの構成が変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	systemd ユニットが変更されると、セキュリティ コントロールが緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctl コマンドを使って systemd ユニットが変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	ルート ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける機能が低下します。 su コマンドが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	sudo コマンドが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Command History Cleared	履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	New System User Added	攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加することがあります。 新しいユーザー エンティティがローカル アカウント管理ファイル /etc/passwd に追加され、そのエンティティがシステム更新プログラムによって追加されていない場合、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Password Database Modification	攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新と関係のないプログラムによって変更されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	新しい SSH 公開キーの追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 既にプログラムが進行中のインシデントの一部になっている場合、ユーザーの SSH authorized_keys ファイルへの書き込みの試みが観察されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	新しいユーザーの追加は、攻撃者が侵害されたノードで永続性を確立するときの、一般的なステップです。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	User Configuration Changes	履歴ファイルの削除はよくあることではなく、一般的には、アクティビティを隠そうとする攻撃者や、監査コントロールを回避しようとする正当なユーザーによって実行されます。 コマンド ライン履歴ファイルが削除されたら、アラートを生成します。	instanceId
capsule8-alerts-dataplane	New System User Added	ユーザー プロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として、変更されることがよくあります。 .bash_profile と bashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更されたら、アラートを生成します。	instanceId

ウイルス対策監視イベント

注意

これらの監査ログの response JSON オブジェクトには必ず result フィールドがあり、元のスキャン結果の 1 行が含まれます。 各スキャン結果は、通常、元のスキャン出力の行ごとに 1 つずつある、複数の監査ログ レコードによって表されます。 このファイルに記録される内容について詳しくは、こちらのサードパーティのドキュメントをご覧ください。

次の clamAVScanService-dataplane イベントがワークスペース レベルでログされます。

サービス	アクション	説明	要求パラメーター
clamAVScanService-dataplane	clamAVScanAction	ウイルス対策監視によってスキャンが実行されます。 元のスキャン出力の各行に対してログが生成されます。	instanceId

非推奨のログ イベント

Databricks では、次の databrickssql 診断イベントが非推奨になりました。

• createAlertDestination (現在は createNotificationDestination)
• deleteAlertDestination (現在は deleteNotificationDestination)
• updateAlertDestination (現在は updateNotificationDestination)
• muteAlert
• unmuteAlert

SQL エンドポイント ログ

非推奨の SQL エンドポイント API (SQL ウェアハウスの以前の名前) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名に、Endpoint の代わりに Warehouse という単語が含まれます。 名前以外は、これらのイベントは SQL ウェアハウスのイベントと同一です。 これらのイベントの説明と要求パラメーターを表示するには、「Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。

SQL エンドポイント イベントは次のとおりです。

• changeEndpointAcls
• createEndpoint
• editEndpoint
• startEndpoint
• stopEndpoint
• deleteEndpoint
• setEndpointConfig