Dokumentacja dziennika diagnostycznego
Uwaga
Ta funkcja wymaga planu Premium.
Ten artykuł zawiera kompleksowe informacje na temat dostępnych usług i zdarzeń dziennika inspekcji. Dzięki zrozumieniu, które zdarzenia są rejestrowane w dziennikach diagnostycznych, przedsiębiorstwo może monitorować szczegółowe wzorce użycia usługi Azure Databricks na twoim koncie.
Najprostszym sposobem uzyskiwania dostępu do dzienników inspekcji konta i wykonywania na nie zapytań jest użycie tabel systemowych (publiczna wersja zapoznawcza).
Jeśli chcesz skonfigurować regularne dostarczanie dzienników, zobacz Konfigurowanie dostarczania dziennika diagnostycznego.
Usługa Azure Databricks przechowuje kopię dzienników inspekcji przez maksymalnie 1 rok na potrzeby analizy zabezpieczeń i oszustw.
Usługi dzienników diagnostycznych
Następujące usługi i ich zdarzenia są domyślnie rejestrowane w dziennikach diagnostycznych.
Usługi na poziomie obszaru roboczego
| Service name | opis |
|---|---|
| Konta | Zdarzenia związane z kontami, użytkownikami, grupami i listami dostępu do adresów IP. |
| Klastrów | Zdarzenia związane z klastrami. |
| clusterPolicies | Zdarzenia związane z zasadami klastra. |
| Pulpity nawigacyjne | Zdarzenia związane z użyciem pulpitu nawigacyjnego usługi Lakeview. |
| databrickssql | Zdarzenia związane z użyciem języka SQL usługi Databricks. |
| dbfs | Zdarzenia związane z systemem plików DBFS. |
| deltaPipelines | Zdarzenia związane z potokami tabeli delta Live Table. |
| featureStore | Zdarzenia związane z magazynem funkcji usługi Databricks. |
| system plików | Zdarzenia związane z interfejsem API plików. |
| Genie | Zdarzenia związane z dostępem do obszaru roboczego przez personel pomocy technicznej. |
| gitCredentials | Zdarzenia związane z poświadczeniami usługi Git dla folderów Git usługi Databricks. Zobacz też repos. |
| globalInitScripts | Zdarzenia związane z globalnymi skryptami inicjowania. |
| Grupy | Zdarzenia związane z grupami kont i obszarów roboczych. |
| Spożyciu | Zdarzenia związane z przekazywaniem plików. |
| instancePools | Zdarzenia związane z pulami. |
| Zadania | Zdarzenia związane z zadaniami. |
| marketplaceConsumer | Zdarzenia związane z akcjami konsumentów w witrynie Databricks Marketplace. |
| marketplaceProvider | Zdarzenia związane z akcjami dostawcy w witrynie Databricks Marketplace. |
| mlflowAcledArtifact | Zdarzenia związane z artefaktami przepływu uczenia maszynowego z listami ACL. |
| mlflowExperiment | Zdarzenia związane z eksperymentami usługi ML Flow. |
| modelRegistry | Zdarzenia związane z rejestrem modeli. |
| Notebook | Zdarzenia związane z notesami. |
| partner Połączenie | Zdarzenia związane z Połączenie partnerem. |
| remoteHistoryService | Zdarzenia związane z dodawaniem usuwania poświadczeń usługi GitHub. |
| Repos | Zdarzenia związane z folderami Git usługi Databricks. Zobacz też gitCredentials. |
| Tajemnice | Zdarzenia związane z wpisami tajnymi. |
| serverlessRealTimeInference | Zdarzenia związane z obsługą modelu. |
| sqlPermissions | Zdarzenia związane ze starszą kontrolą dostępu do tabel magazynu metadanych Hive. |
| Ssh | Zdarzenia związane z dostępem SSH. |
| webTerminal | Zdarzenia związane z funkcją terminalu internetowego. |
| Obszaru roboczego | Zdarzenia związane z obszarami roboczymi. |
Usługi na poziomie konta
Dzienniki inspekcji na poziomie konta są dostępne dla następujących usług:
| Service name | opis |
|---|---|
| accountBillableUsage | Akcje związane z rozliczanym dostępem do użycia w konsoli konta. |
| accountsAccessControl | Akcje związane z regułami kontroli dostępu na poziomie konta. |
| accountsManager | Akcje związane z konfiguracjami łączności sieciowej. |
| unityCatalog | Akcje wykonywane w wykazie aparatu Unity. Obejmuje to również zdarzenia udostępniania różnicowego, zobacz Zdarzenia udostępniania różnicowego. |
Dodatkowe usługi monitorowania zabezpieczeń
Istnieją dodatkowe usługi i skojarzone akcje dla obszarów roboczych korzystających z profilu zabezpieczeń zgodności (wymagane dla niektórych standardów zgodności, takich jak FedRAMP, PCI i HIPAA) lub rozszerzone monitorowanie zabezpieczeń.
Są to usługi na poziomie obszaru roboczego, które będą generowane tylko w dziennikach, jeśli używasz profilu zabezpieczeń zgodności lub ulepszonego monitorowania zabezpieczeń:
| Service name | opis |
|---|---|
| capsule8-alerts-dataplane | Akcje związane z monitorowaniem integralności plików. |
| clamAVScanService-dataplanel | Akcje związane z monitorowaniem oprogramowania antywirusowego. |
| monit | Akcje związane z monitorem procesu. |
| Syslog | Akcje związane z dziennikami systemu. |
Przykładowy schemat dziennika diagnostycznego
W usłudze Azure Databricks diagnostyka rejestruje zdarzenia wyjściowe w formacie JSON. W usłudze Azure Databricks inspekcja rejestruje zdarzenia wyjściowe w formacie JSON. Właściwości serviceName i actionName identyfikują zdarzenie. Konwencja nazewnictwa jest zgodna z interfejsem API REST usługi Databricks.
Poniższy przykładowy kod JSON to przykład zdarzenia zarejestrowanego podczas tworzenia zadania przez użytkownika:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Zagadnienia dotyczące schematu dziennika diagnostycznego
- Jeśli akcje trwają długo, żądanie i odpowiedź są rejestrowane oddzielnie, ale para żądań i odpowiedzi ma tę samą wartość
requestId. - Zautomatyzowane akcje, takie jak zmiana rozmiaru klastra z powodu skalowania automatycznego lub uruchamiania zadania z powodu planowania, są wykonywane przez użytkownika
System-User. - Pole
requestParamspodlega obcięciu. Jeśli rozmiar reprezentacji JSON przekracza 100 KB, wartości są obcięte, a ciąg... truncatedjest dołączany do obcięć wpisów. W rzadkich przypadkach, gdy obcinana mapa jest nadal większa niż 100 KB, zamiast tego występuje pojedynczyTRUNCATEDklucz z pustą wartością.
Zdarzenia konta
Poniżej przedstawiono accounts zdarzenia rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
accounts |
activateUser |
Użytkownik zostanie ponownie aktywowany po dezaktywacji. Zobacz Dezaktywowanie użytkowników w obszarze roboczym. | * targetUserName* endpoint* targetUserId |
accounts |
aadBrowserLogin |
Użytkownik loguje się do usługi Databricks przy użyciu tokenu Microsoft Entra ID (dawniej Azure Active Directory). | * user |
accounts |
aadTokenLogin |
Użytkownik loguje się do usługi Databricks za pośrednictwem przepływu pracy przeglądarki Microsoft Entra ID (dawniej Azure Active Directory). | * user |
accounts |
accountInHouseOAuthClientAuthentication |
Uwierzytelniony jest klient OAuth. | * endpoint |
accounts |
activateUser |
Administracja dodaje użytkownika do konta usługi Databricks z witryny Azure Portal. | * warehouse* targetUserName* targetUserId |
accounts |
add |
Użytkownik jest dodawany do obszaru roboczego usługi Azure Databricks. | * targetUserName* endpoint* targetUserId |
accounts |
addPrincipalToGroup |
Użytkownik jest dodawany do grupy na poziomie obszaru roboczego. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
changeDatabricksSqlAcl |
Uprawnienia usługi SQL usługi Databricks użytkownika są zmieniane. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Uprawnienia do obszaru roboczego są zmieniane. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeDbTokenAcl |
Gdy uprawnienia do tokenu zostaną zmienione. | * shardName* targetUserId* resourceId* aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Gdy uprawnienia jednostki usługi zostaną zmienione. | * shardName* targetServicePrincipal* resourceId* aclPermissionSet |
accounts |
createGroup |
Zostanie utworzona grupa na poziomie obszaru roboczego. | * endpoint* targetGroupId* targetGroupName |
accounts |
createIpAccessList |
Lista dostępu do adresów IP jest dodawana do obszaru roboczego. | * ipAccessListId* userId |
accounts |
deactivateUser |
Użytkownik jest dezaktywowany w obszarze roboczym. Zobacz Dezaktywowanie użytkowników w obszarze roboczym. | * targetUserName* endpoint* targetUserId |
accounts |
delete |
Użytkownik zostanie usunięty z obszaru roboczego usługi Azure Databricks. | * targetUserId* targetUserName* endpoint |
accounts |
deleteIpAccessList |
Lista dostępu do adresów IP jest usuwana z obszaru roboczego. | * ipAccessListId* userId |
accounts |
garbageCollectDbToken |
Użytkownik uruchamia polecenie odzyskiwania pamięci na wygasłych tokenach. | * tokenExpirationTime* tokenClientId* userId* tokenCreationTime* tokenFirstAccessed |
accounts |
generateDbToken |
Gdy ktoś generuje token z Ustawienia użytkownika lub gdy usługa generuje token. | * tokenExpirationTime* tokenCreatedBy* tokenHash* userId |
accounts |
IpAccessDenied |
Użytkownik próbuje nawiązać połączenie z usługą za pośrednictwem niedozwolonego adresu IP. | * path* userName |
accounts |
ipAccessListQuotaExceeded |
* userId |
|
accounts |
jwtLogin |
Użytkownik loguje się do usługi Databricks przy użyciu zestawu JWT. | * user |
accounts |
login |
Użytkownik loguje się do obszaru roboczego. | * user |
accounts |
logout |
Użytkownik wyloguje się z obszaru roboczego. | * user |
accounts |
oidcTokenAuthorization |
Gdy wywołanie interfejsu API jest autoryzowane za pośrednictwem ogólnego tokenu OIDC/OAuth. | * user |
accounts |
passwordVerifyAuthentication |
* user |
|
accounts |
reachMaxQuotaDbToken |
Gdy bieżąca liczba tokenów, które nie wygasły, przekracza limit przydziału tokenu | |
accounts |
removeAdmin |
Użytkownik zostanie odwołany z uprawnień administratora obszaru roboczego. | * targetUserName* endpoint* targetUserId |
accounts |
removeGroup |
Grupa jest usuwana z obszaru roboczego. | * targetGroupId* targetGroupName* endpoint |
accounts |
removePrincipalFromGroup |
Użytkownik jest usuwany z grupy. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
revokeDbToken |
Token użytkownika jest odrzucany z obszaru roboczego. Może zostać wyzwolony przez użytkownika usuwanego z konta usługi Databricks. | * userId |
accounts |
setAdmin |
Użytkownik otrzymuje uprawnienia administratora konta. | * endpoint* targetUserName* targetUserId |
accounts |
tokenLogin |
Użytkownik loguje się do usługi Databricks przy użyciu tokenu. | * tokenId* user |
accounts |
updateIpAccessList |
Lista dostępu do adresów IP została zmieniona. | * ipAccessListId* userId |
accounts |
updateUser |
Wprowadzono zmianę konta użytkownika. | * warehouse* targetUserName* targetUserId |
accounts |
validateEmail |
Gdy użytkownik weryfikuje swój adres e-mail po utworzeniu konta. | * endpoint* targetUserName* targetUserId |
Zdarzenia klastrów
Poniżej przedstawiono cluster zdarzenia rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
clusters |
changeClusterAcl |
Użytkownik zmienia listę ACL klastra. | * shardName* aclPermissionSet* targetUserId* resourceId |
clusters |
create |
Użytkownik tworzy klaster. | * cluster_log_conf* num_workers* enable_elastic_disk* driver_node_type_id* start_cluster* docker_image* ssh_public_keys* aws_attributes* acl_path_prefix* node_type_id* instance_pool_id* spark_env_vars* init_scripts* spark_version* cluster_source* autotermination_minutes* cluster_name* autoscale* custom_tags* cluster_creator* enable_local_disk_encryption* idempotency_token* spark_conf* organization_id* no_driver_daemon* user_id* virtual_cluster_size* apply_policy_default_values* data_security_mode |
clusters |
createResult |
Wyniki tworzenia klastra. W połączeniu z create. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
delete |
Klaster zostanie zakończony. | * cluster_id |
clusters |
deleteResult |
Wyniki zakończenia działania klastra. W połączeniu z delete. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
edit |
Użytkownik wprowadza zmiany w ustawieniach klastra. Rejestruje wszystkie zmiany, z wyjątkiem zmian w zachowaniu rozmiaru klastra lub skalowania automatycznego. | * cluster_log_conf* num_workers* enable_elastic_disk* driver_node_type_id* start_cluster* docker_image* ssh_public_keys* aws_attributes* acl_path_prefix* node_type_id* instance_pool_id* spark_env_vars* init_scripts* spark_version* cluster_source* autotermination_minutes* cluster_name* autoscale* custom_tags* cluster_creator* enable_local_disk_encryption* idempotency_token* spark_conf* organization_id* no_driver_daemon* user_id* virtual_cluster_size* apply_policy_default_values* data_security_mode |
clusters |
permanentDelete |
Klaster jest usuwany z interfejsu użytkownika. | * cluster_id |
clusters |
resize |
Rozmiar klastra. Jest to rejestrowane w uruchomionych klastrach, w których jedyną właściwością, która zmienia się, jest zachowanie rozmiaru klastra lub skalowania automatycznego. | * cluster_id* num_workers* autoscale |
clusters |
resizeResult |
Wyniki zmiany rozmiaru klastra. W połączeniu z resize. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
restart |
Użytkownik uruchamia uruchomiony klaster. | * cluster_id |
clusters |
restartResult |
Wyniki ponownego uruchomienia klastra. W połączeniu z restart. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
clusters |
start |
Użytkownik uruchamia klaster. | * init_scripts_safe_mode* cluster_id |
clusters |
startResult |
Wyniki od uruchomienia klastra. W połączeniu z start. |
* clusterName* clusterState* clusterId* clusterWorkers* clusterOwnerUserId |
Zdarzenia bibliotek klastra
Poniżej przedstawiono clusterLibraries zdarzenia rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
clusterLibraries |
installLibraries |
Użytkownik instaluje bibliotekę w klastrze. | * cluster_id* libraries |
clusterLibraries |
uninstallLibraries |
Użytkownik odinstalowuje bibliotekę w klastrze. | * cluster_id* libraries |
clusterLibraries |
installLibraryOnAllClusters |
Administrator obszaru roboczego planuje instalację biblioteki we wszystkich klastrach. | * user* library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Administrator obszaru roboczego usuwa bibliotekę z listy do zainstalowania we wszystkich klastrach. | * user* library |
Zdarzenia zasad klastra
Poniżej przedstawiono clusterPolicies zdarzenia rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
clusterPolicies |
create |
Użytkownik utworzył zasady klastra. | * name |
clusterPolicies |
edit |
Użytkownik edytował zasady klastra. | * policy_id* name |
clusterPolicies |
delete |
Użytkownik usunął zasady klastra. | * policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Administrator obszaru roboczego zmienia uprawnienia zasad klastra. | * shardName* targetUserId* resourceId* aclPermissionSet |
Zdarzenia pulpitów nawigacyjnych
Poniżej przedstawiono dashboards zdarzenia rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
dashboards |
createDashboard |
Użytkownik tworzy nowy pulpit nawigacyjny usługi Lakeview przy użyciu interfejsu użytkownika lub interfejsu API. | * dashboard_id |
dashboards |
updateDashboard |
Użytkownik dokonuje aktualizacji pulpitu nawigacyjnego usługi Lakeview przy użyciu interfejsu użytkownika lub interfejsu API. | * dashboard_id |
dashboards |
cloneDashboard |
Użytkownik klonuje pulpit nawigacyjny usługi Lakeview. | * source_dashboard_id* new_dashboard_id |
dashboards |
publishDashboard |
Użytkownik publikuje pulpit nawigacyjny usługi Lakeview z osadzonymi poświadczeniami lub bez ich użycia przy użyciu interfejsu użytkownika lub interfejsu API. | * dashboard_id* credentials_embedded* warehouse_id |
dashboards |
unpublishDashboard |
Użytkownik nie publikuje opublikowanego pulpitu nawigacyjnego usługi Lakeview przy użyciu interfejsu użytkownika lub interfejsu API. | * dashboard_id |
dashboards |
trashDashboard |
Użytkownik przenosi pulpit nawigacyjny usługi Lakeview do kosza przy użyciu interfejsu użytkownika lub interfejsu API. | * dashboard_id |
dashboards |
restoreDashboard |
Użytkownik przywraca pulpit nawigacyjny usługi Lakeview z kosza. | * dashboard_id |
dashboards |
migrateDashboard |
Użytkownik migruje pulpit nawigacyjny bazy danych DBSQL do pulpitu nawigacyjnego usługi Lakeview. | * source_dashboard_id* new_dashboard_id |
dashboards |
createSchedule |
Użytkownik tworzy harmonogram subskrypcji poczty e-mail. | * dashboard_id* schedule_id |
dashboards |
updateSchedule |
Użytkownik dokonuje aktualizacji harmonogramu pulpitu nawigacyjnego usługi Lakeview. | * dashboard_id* schedule_id |
dashboards |
deleteSchedule |
Użytkownik usuwa harmonogram pulpitu nawigacyjnego usługi Lakeview. | * dashboard_id* schedule_id |
dashboards |
createSubscription |
Użytkownik subskrybuje miejsce docelowe wiadomości e-mail do harmonogramu pulpitu nawigacyjnego usługi Lakeview. | * dashboard_id* schedule_id* schedule |
dashboards |
deleteSubscription |
Użytkownik usuwa lokalizację docelową poczty e-mail z harmonogramu pulpitu nawigacyjnego usługi Lakeview. | * dashboard_id* schedule_id |
Zdarzenia SQL usługi Databricks
Poniżej przedstawiono databrickssql zdarzenia rejestrowane na poziomie obszaru roboczego.
Uwaga
Jeśli zarządzasz magazynami SQL przy użyciu starszego interfejsu API punktów końcowych SQL, zdarzenia inspekcji usługi SQL Warehouse będą miały różne nazwy akcji. Zobacz Dzienniki punktów końcowych SQL.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Widżet jest dodawany do pulpitu nawigacyjnego. | * dashboardId* widgetId |
databrickssql |
cancelQueryExecution |
Wykonywanie zapytania jest anulowane z poziomu interfejsu użytkownika edytora SQL. Nie obejmuje to odwołań pochodzących z interfejsu użytkownika historii zapytań ani interfejsu API wykonywania SQL usługi Databricks. | * queryExecutionId |
databrickssql |
changeWarehouseAcls |
Menedżer magazynu aktualizuje uprawnienia w usłudze SQL Warehouse. | * aclPermissionSet* resourceId* shardName* targetUserId |
databrickssql |
changePermissions |
Użytkownik aktualizuje uprawnienia do obiektu. | * granteeAndPermission* objectId* objectType |
databrickssql |
cloneDashboard |
Użytkownik klonuje pulpit nawigacyjny. | * dashboardId |
databrickssql |
commandSubmit |
Tylko w pełnych dziennikach inspekcji. Generowane po przesłaniu polecenia do usługi SQL Warehouse niezależnie od źródła żądania. | * warehouseId* commandId* validation* commandText |
databrickssql |
commandFinish |
Tylko w pełnych dziennikach inspekcji. Generowane po zakończeniu lub anulowaniu polecenia w usłudze SQL Warehouse niezależnie od źródła żądania anulowania. | * warehouseId* commandId |
databrickssql |
createAlert |
Użytkownik tworzy alert. | * alertId |
databrickssql |
createNotificationDestination |
Administrator obszaru roboczego tworzy miejsce docelowe powiadomień. | * notificationDestinationId* notificationDestinationType |
databrickssql |
createDashboard |
Użytkownik tworzy pulpit nawigacyjny. | * dashboardId |
databrickssql |
createDataPreviewDashboard |
Użytkownik tworzy pulpit nawigacyjny podglądu danych. | * dashboardId |
databrickssql |
createWarehouse |
Użytkownik z klastrem utwórz uprawnienie tworzy magazyn SQL Warehouse. | * auto_resume* auto_stop_mins* channel* cluster_size* conf_pairs* custom_cluster_confs* enable_databricks_compute* enable_photon* enable_serverless_compute* instance_profile_arn* max_num_clusters* min_num_clusters* name* size* spot_instance_policy* tags* test_overrides |
databrickssql |
createQuery |
Użytkownik tworzy zapytanie, zapisując wersję roboczą zapytania. | * queryId |
databrickssql |
createQueryDraft |
Użytkownik tworzy wersję roboczą zapytania. | * queryId |
databrickssql |
createQuerySnippet |
Użytkownik tworzy fragment zapytania. | * querySnippetId |
databrickssql |
createSampleDashboard |
Użytkownik tworzy przykładowy pulpit nawigacyjny. | * sampleDashboardId |
databrickssql |
createVisualization |
Użytkownik generuje wizualizację przy użyciu edytora SQL. Wyklucza domyślne tabele wyników i wizualizacje w notesach korzystających z usługi SQL Warehouse. | * queryId* visualizationId |
databrickssql |
deleteAlert |
Użytkownik usuwa alert z interfejsu alertu lub za pośrednictwem interfejsu API. Wyklucza usunięcie z interfejsu użytkownika przeglądarki plików. | * alertId |
databrickssql |
deleteNotificationDestination |
Administrator obszaru roboczego usuwa miejsce docelowe powiadomień. | * notificationDestinationId |
databrickssql |
deleteDashboard |
Użytkownik usuwa pulpit nawigacyjny z interfejsu pulpitu nawigacyjnego lub za pośrednictwem interfejsu API. Wyklucza usunięcie za pośrednictwem interfejsu użytkownika przeglądarki plików. | * dashboardId |
databrickssql |
deleteDashboardWidget |
Użytkownik usuwa widżet pulpitu nawigacyjnego. | * widgetId |
databrickssql |
deleteWarehouse |
Menedżer magazynu usuwa usługę SQL Warehouse. | * id |
databrickssql |
deleteQuery |
Użytkownik usuwa zapytanie z interfejsu zapytania lub za pośrednictwem interfejsu API. Wyklucza usunięcie za pośrednictwem interfejsu użytkownika przeglądarki plików. | * queryId |
databrickssql |
deleteQueryDraft |
Użytkownik usuwa wersję roboczą zapytania. | * queryId |
databrickssql |
deleteQuerySnippet |
Użytkownik usuwa fragment zapytania. | * querySnippetId |
databrickssql |
deleteVisualization |
Użytkownik usuwa wizualizację z zapytania w edytorze SQL. | * visualizationId |
databrickssql |
downloadQueryResult |
Użytkownik pobiera wynik zapytania z edytora SQL. Wyklucza pobieranie z pulpitów nawigacyjnych. | * fileType* queryId* queryResultId |
databrickssql |
editWarehouse |
Menedżer magazynu dokonuje edycji w usłudze SQL Warehouse. | * auto_stop_mins* channel* cluster_size* confs* enable_photon* enable_serverless_compute* id* instance_profile_arn* max_num_clusters* min_num_clusters* name* spot_instance_policy* tags |
databrickssql |
executeAdhocQuery |
Wygenerowane przez jedną z następujących wartości: * Użytkownik uruchamia wersję roboczą zapytania w edytorze SQL * Zapytanie jest wykonywane na podstawie agregacji wizualizacji * Użytkownik ładuje pulpit nawigacyjny i wykonuje bazowe zapytania |
* dataSourceId |
databrickssql |
executeSavedQuery |
Użytkownik uruchamia zapisane zapytanie. | * queryId |
databrickssql |
executeWidgetQuery |
Generowane przez każde zdarzenie, które wykonuje zapytanie, tak aby odświeżyć panel pulpitu nawigacyjnego. Oto kilka przykładów odpowiednich zdarzeń: * Odświeżanie pojedynczego panelu * Odświeżanie całego pulpitu nawigacyjnego * Zaplanowane wykonania pulpitu nawigacyjnego * Zmiany parametru lub filtru działające w ponad 64 000 wierszach |
* widgetId |
databrickssql |
favoriteDashboard |
Użytkownik lubi pulpit nawigacyjny. | * dashboardId |
databrickssql |
favoriteQuery |
Użytkownik do ulubionych kwerendy. | * queryId |
databrickssql |
forkQuery |
Użytkownik klonuje zapytanie. | * originalQueryId* queryId |
databrickssql |
listQueries |
Użytkownik otwiera stronę listy zapytań lub wywołuje interfejs API zapytania listy. | * filter_by* include_metrics* max_results* page_token |
databrickssql |
moveDashboardToTrash |
Użytkownik przenosi pulpit nawigacyjny do kosza. | * dashboardId |
databrickssql |
moveQueryToTrash |
Użytkownik przenosi zapytanie do kosza. | * queryId |
databrickssql |
muteAlert |
Użytkownik wycisza alert za pośrednictwem interfejsu API. | * alertId |
databrickssql |
restoreDashboard |
Użytkownik przywraca pulpit nawigacyjny z kosza. | * dashboardId |
databrickssql |
restoreQuery |
Użytkownik przywraca zapytanie z kosza. | * queryId |
databrickssql |
setWarehouseConfig |
Menedżer magazynu ustawia konfigurację dla usługi SQL Warehouse. | * data_access_config* enable_serverless_compute* instance_profile_arn* security_policy* serverless_agreement* sql_configuration_parameters* try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Użytkownik żąda migawki pulpitu nawigacyjnego. Zawiera zaplanowane migawki pulpitu nawigacyjnego. | * dashboardId |
databrickssql |
startWarehouse |
Uruchomiono usługę SQL Warehouse. | * id |
databrickssql |
stopWarehouse |
Menedżer magazynu zatrzymuje usługę SQL Warehouse. Wyklucza automatycznie zastojone magazyny. | * id |
databrickssql |
transferObjectOwnership |
Administrator obszaru roboczego przenosi własność pulpitu nawigacyjnego, zapytania lub alertu do aktywnego użytkownika. | * newOwner* objectId* objectType |
databrickssql |
unfavoriteDashboard |
Użytkownik usuwa pulpit nawigacyjny ze swoich ulubionych. | * dashboardId |
databrickssql |
unfavoriteQuery |
Użytkownik usuwa zapytanie ze swoich ulubionych. | * queryId |
databrickssql |
unmuteAlert |
Użytkownik nie dojeżdża do alertu za pośrednictwem interfejsu API | * alertId. |
databrickssql |
updateAlert |
Użytkownik wprowadza aktualizacje alertu. | * alertId* queryId |
databrickssql |
updateNotificationDestination |
Administrator obszaru roboczego wprowadza aktualizację do miejsca docelowego powiadomień. | * notificationDestinationId |
databrickssql |
updateDashboardWidget |
Użytkownik dokonuje aktualizacji widżetu pulpitu nawigacyjnego. Wyklucza zmiany w skalach osi. Przykłady odpowiednich aktualizacji to: * Zmień rozmiar widżetu lub położenie * Dodawanie lub usuwanie parametrów widżetu |
* widgetId |
databrickssql |
updateDashboard |
Użytkownik dokonuje aktualizacji właściwości pulpitu nawigacyjnego. Wyklucza zmiany harmonogramów i subskrypcji. Przykłady odpowiednich aktualizacji to: * Zmiana nazwy pulpitu nawigacyjnego * Zmiana na usługę SQL Warehouse * Zmień na Ustawienia Uruchom jako |
* dashboardId |
databrickssql |
updateOrganizationSetting |
Administrator obszaru roboczego aktualizuje ustawienia SQL obszaru roboczego. | * has_configured_data_access* has_explored_sql_warehouses* has_granted_permissions |
databrickssql |
updateQuery |
Użytkownik dokonuje aktualizacji zapytania. | * queryId |
databrickssql |
updateQueryDraft |
Użytkownik wprowadza aktualizację do wersji roboczej zapytania. | * queryId |
databrickssql |
updateQuerySnippet |
Użytkownik dokonuje aktualizacji fragmentu zapytania. | * querySnippetId |
databrickssql |
updateVisualization |
Użytkownik aktualizuje wizualizację z poziomu edytora SQL lub pulpitu nawigacyjnego. | * visualizationId |
Zdarzenia SYSTEMU PLIKÓW DBFS
W poniższych tabelach znajdują się dbfs zdarzenia rejestrowane na poziomie obszaru roboczego.
Istnieją dwa typy zdarzeń dbFS: wywołania interfejsu API i zdarzenia operacyjne.
Zdarzenia interfejsu API DBFS
Następujące zdarzenia inspekcji systemu plików DBFS są rejestrowane tylko w przypadku zapisywania za pośrednictwem interfejsu API REST systemu plików DBFS.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
dbfs |
addBlock |
Użytkownik dołącza blok danych do strumienia. Jest to używane w połączeniu z dbfs/create do przesyłania strumieniowego danych do systemu plików DBFS. | * handle* data_length |
dbfs |
create |
Użytkownik otwiera strumień w celu zapisania pliku w plikach DBFs. | * path* bufferSize* overwrite |
dbfs |
delete |
Użytkownik usuwa plik lub katalog z plików DBFs. | * recursive* path |
dbfs |
mkdirs |
Użytkownik tworzy nowy katalog DBFS. | * path |
dbfs |
move |
Użytkownik przenosi plik z jednej lokalizacji do innej lokalizacji w plikach DBFs. | * dst* source_path* src* destination_path |
dbfs |
put |
Użytkownik przekazuje plik za pomocą funkcji publikowania w formularzu wieloczęściowym do plików DBFs. | * path* overwrite |
Zdarzenia operacyjne systemu DBFS
Następujące zdarzenia inspekcji systemu plików DBFS występują na płaszczyźnie obliczeniowej.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
dbfs |
mount |
Użytkownik tworzy punkt instalacji w określonej lokalizacji systemu plików DBFS. | * mountPoint* owner |
dbfs |
unmount |
Użytkownik usuwa punkt instalacji w określonej lokalizacji systemu plików DBFS. | * mountPoint |
Zdarzenia potoków różnicowych
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Użytkownik zmienia uprawnienia w potoku. | * shardId* targetUserId* resourceId* aclPermissionSet |
deltaPipelines |
create |
Użytkownik tworzy potok delta live tables. | * allow_duplicate_names* clusters* configuration* continuous* development* dry_run* id* libraries* name* storage* target* channel* edition* photon |
deltaPipelines |
delete |
Użytkownik usuwa potok delta live tables. | * pipeline_id |
deltaPipelines |
edit |
Użytkownik edytuje potok delta live tables. | * allow_duplicate_names* clusters* configuration* continuous* development* expected_last_modified* id* libraries* name* pipeline_id* storage* target* channel* edition* photon |
deltaPipelines |
startUpdate |
Użytkownik ponownie uruchamia potok delta live tables. | * cause* full_refresh* job_task* pipeline_id |
deltaPipelines |
stop |
Użytkownik zatrzymuje potok delta live tables. | * pipeline_id |
Zdarzenia magazynu funkcji
featureStore Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
featureStore |
addConsumer |
Użytkownik jest dodawany do magazynu funkcji. | * features* job_run* notebook |
featureStore |
addDataSources |
Źródło danych jest dodawane do tabeli funkcji. | * feature_table* paths, tables |
featureStore |
addProducer |
Producent jest dodawany do tabeli funkcji. | * feature_table* job_run* notebook |
featureStore |
changeFeatureTableAcl |
Uprawnienia są zmieniane w tabeli funkcji. | * aclPermissionSet* resourceId* shardName* targetUserId |
featureStore |
createFeatureTable |
Zostanie utworzona tabela funkcji. | * description* name* partition_keys* primary_keys* timestamp_keys |
featureStore |
createFeatures |
Funkcje są tworzone w tabeli funkcji. | * feature_table* features |
featureStore |
deleteFeatureTable |
Tabela funkcji jest usuwana. | * name |
featureStore |
deleteTags |
Tagi są usuwane z tabeli funkcji. | * feature_table_id* keys |
featureStore |
getConsumers |
Użytkownik wykonuje wywołanie w celu pobrania użytkowników w tabeli funkcji. | * feature_table |
featureStore |
getFeatureTable |
Użytkownik wykonuje wywołanie w celu pobrania tabel funkcji. | * name |
featureStore |
getFeatureTablesById |
Użytkownik wykonuje wywołanie w celu uzyskania identyfikatorów tabeli funkcji. | * ids |
featureStore |
getFeatures |
Użytkownik wykonuje wywołanie w celu uzyskania funkcji. | * feature_table* max_results |
featureStore |
getModelServingMetadata |
Użytkownik wykonuje wywołanie w celu pobrania metadanych obsługujących model. | * feature_table_features |
featureStore |
getOnlineStore |
Użytkownik wykonuje wywołanie w celu uzyskania szczegółów sklepu online. | * cloud* feature_table* online_table* store_type |
featureStore |
getTags |
Użytkownik wykonuje wywołanie w celu pobrania tagów dla tabeli funkcji. | * feature_table_id |
featureStore |
publishFeatureTable |
Opublikowano tabelę funkcji. | * cloud* feature_table* host* online_table* port* read_secret_prefix* store_type* write_secret_prefix |
featureStore |
searchFeatureTables |
Użytkownik wyszukuje tabele funkcji. | * max_results* page_token* text |
featureStore |
setTags |
Tagi są dodawane do tabeli funkcji. | * feature_table_id* tags |
featureStore |
updateFeatureTable |
Tabela funkcji jest aktualizowana. | * description* name |
Zdarzenia interfejsu API plików
filesystem Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
filesystem |
filesGet |
Użytkownik pobiera plik. | * path* transferredSize |
filesystem |
filesPut |
Użytkownik przekazuje plik. | * path* receivedSize |
filesystem |
filesDelete |
Użytkownik usuwa plik. | * path |
filesystem |
filesHead |
Użytkownik pobiera informacje o pliku. | * path |
Zdarzenia genie
genie Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
genie |
databricksAccess |
Personel usługi Databricks jest autoryzowany do uzyskiwania dostępu do środowiska klienta. | * duration* approver* reason* authType* user |
Zdarzenia poświadczeń usługi Git
gitCredentials Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
gitCredentials |
getGitCredential |
Użytkownik otrzymuje poświadczenia usługi Git. | * id |
gitCredentials |
listGitCredentials |
Użytkownik wyświetla listę wszystkich poświadczeń usługi Git | Brak |
gitCredentials |
deleteGitCredential |
Użytkownik usuwa poświadczenia usługi Git. | * id |
gitCredentials |
updateGitCredential |
Użytkownik aktualizuje poświadczenie git. | * id* git_provider* git_username |
gitCredentials |
createGitCredential |
Użytkownik tworzy poświadczenie git. | * git_provider* git_username |
Zdarzenia globalnych skryptów inicjowania
globalInitScripts Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
globalInitScripts |
create |
Administrator obszaru roboczego tworzy globalny skrypt inicjowania. | * name* position* script-SHA256* enabled |
globalInitScripts |
update |
Administrator obszaru roboczego aktualizuje globalny skrypt inicjowania. | * script_id* name* position* script-SHA256* enabled |
globalInitScripts |
delete |
Administrator obszaru roboczego usuwa globalny skrypt inicjowania. | * script_id |
Zdarzenia grup
groups Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego. Te akcje są powiązane ze starszymi grupami listy ACL. Aby zapoznać się z akcjami związanymi z grupami na poziomie konta i obszaru roboczego, zobacz Zdarzenia konta i Zdarzenia konta na poziomie konta.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
groups |
addPrincipalToGroup |
Administrator dodaje użytkownika do grupy. | * user_name* parent_name |
groups |
createGroup |
Administrator tworzy grupę. | * group_name |
groups |
getGroupMembers |
Administrator wyświetla członków grupy. | * group_name |
groups |
getGroups |
Administrator wyświetla listę grup | Brak |
groups |
getInheritedGroups |
Widoki administratora dziedziczone grupy | Brak |
groups |
removeGroup |
Administrator usuwa grupę. | * group_name |
Zdarzenia pozyskiwania
ingestion Następujące zdarzenie jest rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
ingestion |
proxyFileUpload |
Użytkownik przekazuje plik do obszaru roboczego usługi Azure Databricks. | * x-databricks-content-length-0* x-databricks-total-files |
Zdarzenia puli wystąpień
instancePools Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Użytkownik zmienia uprawnienia puli wystąpień. | * shardName* resourceId* targetUserId* aclPermissionSet |
instancePools |
create |
Użytkownik tworzy pulę wystąpień. | * enable_elastic_disk* preloaded_spark_versions* idle_instance_autotermination_minutes* instance_pool_name* node_type_id* custom_tags* max_capacity* min_idle_instances* aws_attributes |
instancePools |
delete |
Użytkownik usuwa pulę wystąpień. | * instance_pool_id |
instancePools |
edit |
Użytkownik edytuje pulę wystąpień. | * instance_pool_name* idle_instance_autotermination_minutes* min_idle_instances* preloaded_spark_versions* max_capacity* enable_elastic_disk* node_type_id* instance_pool_id* aws_attributes |
Zdarzenia zadania
jobs Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
jobs |
cancel |
Uruchomienie zadania zostało anulowane. | * run_id |
jobs |
cancelAllRuns |
Użytkownik anuluje wszystkie uruchomienia zadania. | * job_id |
jobs |
changeJobAcl |
Użytkownik aktualizuje uprawnienia do zadania. | * shardName* aclPermissionSet* resourceId* targetUserId |
jobs |
create |
Użytkownik tworzy zadanie. | * spark_jar_task* email_notifications* notebook_task* spark_submit_task* timeout_seconds* libraries* name* spark_python_task* job_type* new_cluster* existing_cluster_id* max_retries* schedule* run_as |
jobs |
delete |
Użytkownik usuwa zadanie. | * job_id |
jobs |
deleteRun |
Użytkownik usuwa uruchomienie zadania. | * run_id |
jobs |
getRunOutput |
Użytkownik wykonuje wywołanie interfejsu API w celu uzyskania danych wyjściowych przebiegu. | * run_id* is_from_webapp |
jobs |
repairRun |
Użytkownik naprawia przebieg zadania. | * run_id* latest_repair_id* rerun_tasks |
jobs |
reset |
Zadanie jest resetowane. | * job_id* new_settings |
jobs |
resetJobAcl |
Użytkownik żąda zmiany uprawnień zadania. | * grants* job_id |
jobs |
runCommand |
Dostępne po włączeniu pełnych dzienników inspekcji. Emitowane po wykonaniu polecenia w notesie przez uruchomienie zadania. Polecenie odpowiada komórce w notesie. | * jobId* runId* notebookId* executionTime* status* commandId* commandText |
jobs |
runFailed |
Uruchomienie zadania kończy się niepowodzeniem. | * jobClusterType* jobTriggerType* jobId* jobTaskType* runId* jobTerminalState* idInJob* orgId* runCreatorUserName |
jobs |
runNow |
Użytkownik wyzwala uruchomienie zadania na żądanie. | * notebook_params* job_id* jar_params* workflow_context |
jobs |
runStart |
Emitowane po uruchomieniu zadania po walidacji i utworzeniu klastra. Parametry żądania emitowane z tego zdarzenia zależą od typu zadań w zadaniu. Oprócz wymienionych parametrów mogą one obejmować: * dashboardId (dla zadania pulpitu nawigacyjnego SQL)* filePath (dla zadania pliku SQL)* notebookPath (dla zadania notesu)* mainClassName (dla zadania JAR platformy Spark)* pythonFile (dla zadania JAR platformy Spark)* projectDirectory (dla zadania dbt)* commands (dla zadania dbt)* packageName (dla zadania koła języka Python)* entryPoint (dla zadania koła języka Python)* pipelineId (dla zadania potoku)* queryIds (dla zadania zapytania SQL)* alertId (dla zadania alertu SQL) |
* taskDependencies* multitaskParentRunId* orgId* idInJob* jobId* jobTerminalState* taskKey* jobTriggerType* jobTaskType* runId* runCreatorUserName |
jobs |
runSucceeded |
Przebieg zadania zakończył się pomyślnie. | * idInJob* jobId* jobTriggerType* orgId* runId* jobClusterType* jobTaskType* jobTerminalState* runCreatorUserName |
jobs |
runTriggered |
Harmonogram zadań jest wyzwalany automatycznie zgodnie z harmonogramem lub wyzwalaczem. | * jobId* jobTriggeredType* runId |
jobs |
sendRunWebhook |
Element webhook jest wysyłany, gdy zadanie rozpoczyna się, kończy lub kończy się niepowodzeniem. | * orgId* jobId* jobWebhookId* jobWebhookEvent* runId |
jobs |
setTaskValue |
Użytkownik ustawia wartości zadania. | * run_id* key |
jobs |
submitRun |
Użytkownik przesyła jednorazowy przebieg za pośrednictwem interfejsu API. | * shell_command_task* run_name* spark_python_task* existing_cluster_id* notebook_task* timeout_seconds* libraries* new_cluster* spark_jar_task |
jobs |
update |
Użytkownik edytuje ustawienia zadania. | * job_id* fields_to_remove* new_settings* is_from_dlt |
Zdarzenia konsumentów w witrynie Marketplace
marketplaceConsumer Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Użytkownik uzyskuje dostęp do produktu danych za pośrednictwem witryny Databricks Marketplace. | * listing_id* listing_name* share_name* catalog_name* request_context: Tablica informacji o koncie i magazynie metadanych, które uzyskały dostęp do produktu danych |
marketplaceConsumer |
requestDataProduct |
Użytkownik żąda dostępu do produktu danych, który wymaga zatwierdzenia dostawcy. | * listing_id* listing_name* catalog_name* request_context: Tablica informacji o koncie i magazynie metadanych żądających dostępu do produktu danych |
Zdarzenia dostawcy witryny Marketplace
marketplaceProvider Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
marketplaceProvider |
createListing |
Administrator magazynu metadanych tworzy listę w profilu dostawcy. | * listing: Tablica szczegółów dotyczących listy* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
updateListing |
Administrator magazynu metadanych wprowadza aktualizację do listy w profilu dostawcy. | * id* listing: Tablica szczegółów dotyczących listy* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
deleteListing |
Administrator magazynu metadanych usuwa listę w profilu dostawcy. | * id* request_context: Tablica szczegółów dotyczących konta dostawcy i magazynu metadanych |
marketplaceProvider |
updateConsumerRequestStatus |
Administratorzy magazynu metadanych zatwierdzają lub odrzucają żądanie produktu danych. | * listing_id* request_id* status* reason* share: Tablica informacji o udziale* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
createProviderProfile |
Administrator magazynu metadanych tworzy profil dostawcy. | * provider: Tablica informacji o dostawcy* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
updateProviderProfile |
Administrator magazynu metadanych wprowadza aktualizację profilu dostawcy. | * id* provider: Tablica informacji o dostawcy* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
deleteProviderProfile |
Administrator magazynu metadanych usuwa swój profil dostawcy. | * id* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
marketplaceProvider |
uploadFile |
Dostawca przekazuje plik do profilu dostawcy. | * request_context: Tablica informacji o koncie dostawcy i magazynie metadanych* marketplace_file_type* display_name* mime_type* file_parent: Tablica szczegółów obiektu nadrzędnego pliku |
marketplaceProvider |
deleteFile |
Dostawca usuwa plik z profilu dostawcy. | * file_id* request_context: Tablica informacji o koncie dostawcy i magazynie metadanych |
Artefakty MLflow ze zdarzeniami listy ACL
mlflowAcledArtifact Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Użytkownik wykonuje wywołanie w celu odczytania artefaktu. | * artifactLocation* experimentId* runId |
mlflowAcledArtifact |
writeArtifact |
Użytkownik wykonuje wywołanie do zapisu w artefaktie. | * artifactLocation* experimentId* runId |
Zdarzenia eksperymentu MLflow
mlflowExperiment Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Użytkownik tworzy eksperyment MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Użytkownik usuwa eksperyment MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
moveMlflowExperiment |
Użytkownik przenosi eksperyment MLflow. | * newPath* experimentId* oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Użytkownik przywraca eksperyment MLflow. | * experimentId* path* experimentName |
mlflowExperiment |
renameMlflowExperiment |
Użytkownik zmienia nazwę eksperymentu MLflow. | * oldName* newName* experimentId* parentPath |
Zdarzenia rejestru modeli MLflow
mlflowModelRegistry Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Użytkownik zatwierdza żądanie przeniesienia etapu wersji modelu. | * name* version* stage* archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Użytkownik aktualizuje uprawnienia dla zarejestrowanego modelu. | * registeredModelId* userId |
modelRegistry |
createComment |
Użytkownik publikuje komentarz do wersji modelu. | * name* version |
modelRegistry |
createModelVersion |
Użytkownik tworzy wersję modelu. | * name* source* run_id* tags* run_link |
modelRegistry |
createRegisteredModel |
Użytkownik tworzy nowy zarejestrowany model | * name* tags |
modelRegistry |
createRegistryWebhook |
Użytkownik tworzy element webhook dla zdarzeń rejestru modeli. | * orgId* registeredModelId* events* description* status* creatorId* httpUrlSpec |
modelRegistry |
createTransitionRequest |
Użytkownik tworzy żądanie przeniesienia etapu wersji modelu. | * name* version* stage |
modelRegistry |
deleteComment |
Użytkownik usuwa komentarz do wersji modelu. | * id |
modelRegistry |
deleteModelVersion |
Użytkownik usuwa wersję modelu. | * name* version |
modelRegistry |
deleteModelVersionTag |
Użytkownik usuwa tag wersji modelu. | * name* version* key |
modelRegistry |
deleteRegisteredModel |
Użytkownik usuwa zarejestrowany model | * name |
modelRegistry |
deleteRegisteredModelTag |
Użytkownik usuwa tag zarejestrowanego modelu. | * name* key |
modelRegistry |
deleteRegistryWebhook |
Użytkownik usuwa element webhook rejestru modeli. | * orgId* webhookId |
modelRegistry |
deleteTransitionRequest |
Użytkownik anuluje żądanie przeniesienia etapu wersji modelu. | * name* version* stage* creator |
modelRegistry |
finishCreateModelVersionAsync |
Ukończono kopiowanie modelu asynchronicznego. | * name* version |
modelRegistry |
generateBatchInferenceNotebook |
Notes wnioskowania wsadowego jest generowany automatycznie. | * userId* orgId* modelName* inputTableOpt* outputTablePathOpt* stageOrVersion* modelVersionEntityOpt* notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Notes wnioskowania dla potoku delta Live Tables jest generowany automatycznie. | * userId* orgId* modelName* inputTable* outputTable* stageOrVersion* notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Użytkownik pobiera identyfikator URI w celu pobrania wersji modelu. | * name* version |
modelRegistry |
getModelVersionSignedDownloadUri |
Użytkownik pobiera identyfikator URI w celu pobrania podpisanej wersji modelu. | * name* version* path |
modelRegistry |
listModelArtifacts |
Użytkownik wykonuje wywołanie w celu wyświetlenia listy artefaktów modelu. | * name* version* path* page_token |
modelRegistry |
listRegistryWebhooks |
Użytkownik wykonuje wywołanie w celu wyświetlenia listy wszystkich elementów webhook rejestru w modelu. | * orgId* registeredModelId |
modelRegistry |
rejectTransitionRequest |
Użytkownik odrzuca żądanie przeniesienia etapu wersji modelu. | * name* version* stage |
modelRegistry |
renameRegisteredModel |
Użytkownik zmienia nazwę zarejestrowanego modelu | * name* new_name |
modelRegistry |
setEmailSubscriptionStatus |
Użytkownik aktualizuje stan subskrypcji poczty e-mail dla zarejestrowanego modelu | |
modelRegistry |
setModelVersionTag |
Użytkownik ustawia tag wersji modelu. | * name* version* key* value |
modelRegistry |
setRegisteredModelTag |
Użytkownik ustawia tag wersji modelu. | * name* key* value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Użytkownik aktualizuje stan powiadomień e-mail dla całego rejestru. | * orgId* userId* subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Użytkownik testuje element webhook rejestru modeli. | * orgId* webhookId |
modelRegistry |
transitionModelVersionStage |
Użytkownik otrzymuje listę wszystkich otwartych żądań przejścia etapu dla wersji modelu. | * name* version* stage* archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Element webhook rejestru modeli jest wyzwalany przez zdarzenie. | * orgId* registeredModelId* events* status |
modelRegistry |
updateComment |
Użytkownik publikuje edycję w komentarzu do wersji modelu. | * id |
modelRegistry |
updateRegistryWebhook |
Użytkownik aktualizuje element webhook rejestru modeli. | * orgId* webhookId |
Zdarzenia obsługujące model
serverlessRealTimeInference Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Użytkownik aktualizuje uprawnienia dla punktu końcowego wnioskowania. | * shardName* targetUserId* resourceId* aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Użytkownik tworzy punkt końcowy obsługujący model. | * name* config |
serverlessRealTimeInference |
deleteServingEndpoint |
Użytkownik usuwa punkt końcowy obsługujący model. | * name |
serverlessRealTimeInference |
disable |
Użytkownik wyłącza obsługę modelu dla zarejestrowanego modelu. | * registered_mode_name |
serverlessRealTimeInference |
enable |
Użytkownik umożliwia obsługę modelu dla zarejestrowanego modelu. | * registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Użytkownicy wykonuje wywołanie w celu uzyskania podglądu schematu zapytania. | * endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
Użytkownik aktualizuje punkt końcowy obsługujący model. | * name* served_models* traffic_config |
Zdarzenia notesu
notebook Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
notebook |
attachNotebook |
Notes jest dołączony do klastra. | * path* clusterId* notebookId |
notebook |
cloneNotebook |
Użytkownik klonuje notes. | * notebookId* path* clonedNotebookId* destinationPath |
notebook |
createNotebook |
Zostanie utworzony notes. | * notebookId* path |
notebook |
deleteFolder |
Folder notesu jest usuwany. | * path |
notebook |
deleteNotebook |
Notes jest usuwany. | * notebookId* notebookName* path |
notebook |
detachNotebook |
Notes jest odłączony od klastra. | * notebookId* clusterId* path |
notebook |
downloadLargeResults |
Użytkownik pobiera wyniki zapytania za duże, aby wyświetlić je w notesie. | * notebookId* notebookFullPath |
notebook |
downloadPreviewResults |
Użytkownik pobiera wyniki zapytania. | * notebookId* notebookFullPath |
notebook |
importNotebook |
Użytkownik importuje notes. | * path |
notebook |
moveFolder |
Folder notesu jest przenoszony z jednej lokalizacji do innej. | * oldPath* newPath* folderId |
notebook |
moveNotebook |
Notes jest przenoszony z jednej lokalizacji do innej. | * newPath* oldPath* notebookId |
notebook |
renameNotebook |
Nazwa notesu została zmieniona. | * newName* oldName* parentPath* notebookId |
notebook |
restoreFolder |
Usunięty folder jest przywracany. | * path |
notebook |
restoreNotebook |
Przywrócono usunięty notes. | * path* notebookId* notebookName |
notebook |
runCommand |
Dostępne po włączeniu pełnych dzienników inspekcji. Emitowane po uruchomieniu polecenia w notesie w usłudze Databricks. Polecenie odpowiada komórce w notesie.executionTime jest mierzona w sekundach. |
* notebookId* executionTime* status* commandId* commandText* commandLanguage |
notebook |
takeNotebookSnapshot |
Migawki notesu są wykonywane po uruchomieniu usługi zadań lub mlflow. | * path |
Zdarzenia Połączenie partnerów
partnerHub Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Administrator obszaru roboczego konfiguruje połączenie z rozwiązaniem partnerskim. | * partner_name |
partnerHub |
deletePartnerConnection |
Administrator obszaru roboczego usuwa połączenie partnera. | * partner_name |
partnerHub |
downloadPartnerConnectionFile |
Administrator obszaru roboczego pobiera plik połączenia partnera. | * partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Administrator obszaru roboczego konfiguruje zasoby dla połączenia partnera. | * partner_name |
Zdarzenia usługi historii zdalnej
remoteHistoryService Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
Użytkownik dodaje poświadczenia usługi GitHub | Brak |
remoteHistoryService |
deleteUserGitHubCredentials |
Użytkownik usuwa poświadczenia usługi GitHub | Brak |
remoteHistoryService |
updateUserGitHubCredentials |
Użytkownik aktualizuje poświadczenia usługi GitHub | Brak |
Zdarzenia folderu Git
repos Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
repos |
checkoutBranch |
Użytkownik wyewidencjonuje gałąź w repozytorium. | * id* branch |
repos |
commitAndPush |
Użytkownik zatwierdza i wypycha do repozytorium. | * id* message* files* checkSensitiveToken |
repos |
createRepo |
Użytkownik tworzy repozytorium w obszarze roboczym | * url* provider* path |
repos |
deleteRepo |
Użytkownik usuwa repozytorium. | * id |
repos |
discard |
Użytkownik odrzuca zatwierdzenie w repozytorium. | * id* file_paths |
repos |
getRepo |
Użytkownik wykonuje wywołanie w celu uzyskania informacji o pojedynczym repozytorium. | * id |
repos |
listRepos |
Użytkownik wykonuje wywołanie, aby uzyskać wszystkie repozytoria, w których mają uprawnienia do zarządzania. | * path_prefix* next_page_token |
repos |
pull |
Użytkownik pobiera najnowsze zatwierdzenia z repozytorium. | * id |
repos |
updateRepo |
Użytkownik aktualizuje repozytorium do innej gałęzi lub tagu albo do najnowszego zatwierdzenia w tej samej gałęzi. | * id* branch* tag* git_url* git_provider |
Zdarzenia wpisów tajnych
secrets Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
secrets |
createScope |
Użytkownik tworzy zakres wpisów tajnych. | * scope* initial_manage_principal* scope_backend_type |
secrets |
deleteAcl |
Użytkownik usuwa listy ACL dla zakresu wpisu tajnego. | * scope* principal |
secrets |
deleteScope |
Użytkownik usuwa zakres wpisów tajnych. | * scope |
secrets |
deleteSecret |
Użytkownik usuwa wpis tajny z zakresu. | * key* scope |
secrets |
getAcl |
Użytkownik pobiera listy ACL dla zakresu wpisów tajnych. | * scope* principal |
secrets |
getSecret |
Użytkownik pobiera wpis tajny z zakresu. | * key* scope |
secrets |
listAcls |
Użytkownik wykonuje wywołanie list ACL dla zakresu wpisu tajnego. | * scope |
secrets |
listScopes |
Użytkownik wykonuje wywołanie listy zakresów wpisów tajnych | Brak |
secrets |
listSecrets |
Użytkownik wykonuje wywołanie listy wpisów tajnych w zakresie. | * scope |
secrets |
putAcl |
Użytkownik zmienia listy ACL dla zakresu wpisu tajnego. | * scope* principal* permission |
secrets |
putSecret |
Użytkownik dodaje lub edytuje wpis tajny w zakresie. | * string_value* key* scope |
Zdarzenia dostępu do tabel SQL
Uwaga
Usługa sqlPermissions zawiera zdarzenia związane ze starszą kontrolą dostępu do tabel magazynu metadanych Hive. Usługa Databricks zaleca uaktualnienie tabel zarządzanych przez magazyn metadanych Hive do magazynu metadanych wykazu aparatu Unity.
sqlPermissions Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Administrator obszaru roboczego lub właściciel obiektu przenosi własność obiektu. | * securable* principal |
sqlPermissions |
createSecurable |
Użytkownik tworzy zabezpieczany obiekt. | * securable |
sqlPermissions |
denyPermission |
Właściciel obiektu odmawia uprawnień do zabezpieczanego obiektu. | * permission |
sqlPermissions |
grantPermission |
Właściciel obiektu udziela uprawnień do zabezpieczanego obiektu. | * permission |
sqlPermissions |
removeAllPermissions |
Użytkownik odrzuca zabezpieczany obiekt. | * securable |
sqlPermissions |
renameSecurable |
Użytkownik zmienia nazwę zabezpieczanego obiektu. | * before* after |
sqlPermissions |
requestPermissions |
Użytkownik żąda uprawnień do zabezpieczanego obiektu. | * requests |
sqlPermissions |
revokePermission |
Właściciel obiektu odwołuje uprawnienia do zabezpieczanego obiektu. | * permission |
sqlPermissions |
showPermissions |
Użytkownik wyświetla zabezpieczane uprawnienia obiektu. | * securable* principal |
Zdarzenia SSH
ssh Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
ssh |
login |
Logowanie agenta SSH do sterownika platformy Spark. | * containerId* userName* port* publicKey* instanceId |
ssh |
logout |
Wylogowywanie agenta protokołu SSH ze sterownika spark. | * userName* containerId* instanceId |
Zdarzenia terminalu sieci Web
webTerminal Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
webTerminal |
startSession |
Użytkownik uruchamia sesje terminalu sieci Web. | * socketGUID* clusterId* serverPort* ProxyTargetURI |
webTerminal |
closeSession |
Użytkownik zamyka sesję terminalu internetowego. | * socketGUID* clusterId* serverPort* ProxyTargetURI |
Zdarzenia obszaru roboczego
workspace Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Nazwa akcji | opis | Parametry żądania |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Uprawnienia do obszaru roboczego są zmieniane. | * shardName* targetUserId* aclPermissionSet* resourceId |
workspace |
deleteSetting |
Ustawienie zostanie usunięte z obszaru roboczego. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName |
workspace |
fileCreate |
Użytkownik tworzy plik w obszarze roboczym. | * path |
workspace |
fileDelete |
Użytkownik usuwa plik w obszarze roboczym. | * path |
workspace |
fileEditorOpenEvent |
Użytkownik otwiera edytor plików. | * notebookId* path |
workspace |
getRoleAssignment |
Użytkownik pobiera role użytkownika obszaru roboczego. | * account_id* workspace_id |
workspace |
mintOAuthAuthorizationCode |
Rejestrowane, gdy wbudowany kod autoryzacji OAuth jest wybity na poziomie obszaru roboczego. | * client_id |
workspace |
mintOAuthToken |
Token OAuth jest wybity dla obszaru roboczego. | * grant_type* scope* expires_in* client_id |
workspace |
moveWorkspaceNode |
Administrator obszaru roboczego przenosi węzeł obszaru roboczego. | * destinationPath* path |
workspace |
purgeWorkspaceNodes |
Administrator obszaru roboczego czyści węzły obszaru roboczego. | * treestoreId |
workspace |
reattachHomeFolder |
Istniejący folder główny jest ponownie dołączany dla użytkownika, który zostanie ponownie dodany do obszaru roboczego. | * path |
workspace |
renameWorkspaceNode |
Administrator obszaru roboczego zmienia nazwę węzłów obszaru roboczego. | * path* destinationPath |
workspace |
unmarkHomeFolder |
Atrybuty specjalne folderu głównego są usuwane po usunięciu użytkownika z obszaru roboczego. | * path |
workspace |
updateRoleAssignment |
Administrator obszaru roboczego aktualizuje rolę użytkownika obszaru roboczego. | * account_id* workspace_id* principal_id |
workspace |
setSetting |
Administrator obszaru roboczego konfiguruje ustawienie obszaru roboczego. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
workspace |
workspaceConfEdit |
Administrator obszaru roboczego wprowadza aktualizacje do ustawienia, na przykład włączenie pełnych dzienników inspekcji. | * workspaceConfKeys* workspaceConfValues |
workspace |
workspaceExport |
Użytkownik eksportuje notes z obszaru roboczego. | * workspaceExportDirectDownload* workspaceExportFormat* notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Klient OAuth jest uwierzytelniany w usłudze obszaru roboczego. | * user |
Rozliczane zdarzenia użycia
accountBillableUsage Następujące zdarzenia są rejestrowane na poziomie konta.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
Użytkownik uzyskiwał dostęp do zagregowanego użycia rozliczanego (użycia dziennie) dla konta za pośrednictwem funkcji Wykres użycia. | * account_id* window_size* start_time* end_time* meter_name* workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
Użytkownik uzyskiwał dostęp do szczegółowego rozliczanego użycia (użycia dla każdego klastra) dla konta za pośrednictwem funkcji Pobieranie użycia. | * account_id* start_month* end_month* with_pii |
Zdarzenia konta na poziomie konta
accounts Następujące zdarzenia są rejestrowane na poziomie konta.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Uwierzytelniony jest klient OAuth. | * endpoint |
accounts |
accountIpAclsValidationFailed |
Sprawdzanie poprawności uprawnień adresu IP kończy się niepowodzeniem. Zwraca wartość statusCode 403. | * sourceIpAddress* user: zarejestrowany jako adres e-mail |
accounts |
activateUser |
Użytkownik zostanie ponownie aktywowany po dezaktywacji. Zobacz Dezaktywowanie użytkowników na koncie. | * targetUserName* endpoint* targetUserId |
accounts |
add |
Użytkownik jest dodawany do konta usługi Azure Databricks. | * targetUserName* endpoint* targetUserId |
accounts |
addPrincipalToGroup |
Użytkownik jest dodawany do grupy na poziomie konta. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
addPrincipalsToGroup |
Użytkownicy są dodawani do grupy na poziomie konta przy użyciu aprowizacji SCIM. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
createGroup |
Zostanie utworzona grupa na poziomie konta. | * endpoint* targetGroupId* targetGroupName |
accounts |
deactivateUser |
Użytkownik jest dezaktywowany. Zobacz Dezaktywowanie użytkowników na koncie. | * targetUserName* endpoint* targetUserId |
accounts |
delete |
Użytkownik zostanie usunięty z konta usługi Azure Databricks. | * targetUserId* targetUserName* endpoint |
accounts |
deleteSetting |
Administrator konta usuwa ustawienie z konta usługi Azure Databricks. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
accounts |
garbageCollectDbToken |
Użytkownik uruchamia polecenie odzyskiwania pamięci na wygasłych tokenach. | * tokenExpirationTime* tokenClientId* userId* tokenCreationTime* tokenFirstAccessed |
accounts |
generateDbToken |
Użytkownik generuje token z Ustawienia użytkownika lub gdy usługa generuje token. | * tokenExpirationTime* tokenCreatedBy* tokenHash* userId |
accounts |
login |
Użytkownik loguje się do konsoli konta. | * user |
accounts |
logout |
Użytkownik wyloguje się z konsoli konta. | * user |
accounts |
oidcBrowserLogin |
Użytkownik loguje się na swoje konto przy użyciu przepływu pracy przeglądarki OpenID Połączenie. | * user |
accounts |
oidcTokenAuthorization |
Token OIDC jest uwierzytelniany na potrzeby logowania administratora konta. | * user |
accounts |
removeAccountAdmin |
Administrator konta usuwa uprawnienia administratora konta z innego użytkownika. | * targetUserName* endpoint* targetUserId |
accounts |
removeGroup |
Grupa zostanie usunięta z konta. | * targetGroupId* targetGroupName* endpoint |
accounts |
removePrincipalFromGroup |
Użytkownik jest usuwany z grupy na poziomie konta. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
removePrincipalsFromGroup |
Użytkownicy są usuwani z grupy na poziomie konta przy użyciu aprowizacji SCIM. | * targetGroupId* endpoint* targetUserId* targetGroupName* targetUserName |
accounts |
setAccountAdmin |
Administrator konta przypisuje rolę administratora konta innemu użytkownikowi. | * targetUserName* endpoint* targetUserId |
accounts |
setSetting |
Administrator konta aktualizuje ustawienie na poziomie konta. | * settingKeyTypeName* settingKeyName* settingTypeName* settingName* settingValueForAudit |
accounts |
tokenLogin |
Użytkownik loguje się do usługi Databricks przy użyciu tokenu. | * tokenId* user |
accounts |
updateUser |
Administrator konta aktualizuje konto użytkownika. | * targetUserName* endpoint* targetUserId |
accounts |
updateGroup |
Administrator konta aktualizuje grupę na poziomie konta. | * endpoint* targetGroupId* targetGroupName |
accounts |
validateEmail |
Gdy użytkownik weryfikuje swój adres e-mail po utworzeniu konta. | * endpoint* targetUserName* targetUserId |
Zdarzenia kontroli dostępu na poziomie konta
accountsAccessControl Następujące zdarzenie jest rejestrowane na poziomie konta.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
Po zmianie zestawu reguł. | * account_id* name* rule_set |
Zdarzenia zarządzania kontami
accountsManager Następujące zdarzenia są rejestrowane na poziomie konta. Te zdarzenia muszą mieć związek z konfiguracjami wykonanymi przez administratorów konta w konsoli konta.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
Administrator konta utworzył konfigurację łączności sieciowej. | * network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
Administrator konta żąda szczegółowych informacji o konfiguracji łączności sieciowej. | * account_id* network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
Administrator konta wyświetla listę wszystkich konfiguracji łączności sieciowej na koncie. | * account_id |
accountsManager |
deleteNetworkConnectivityConfig |
Administrator konta usunął konfigurację łączności sieciowej. | * account_id* network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
Administrator konta utworzył regułę prywatnego punktu końcowego. | * account_id* network_connectivity_config_id* azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
Administrator konta żąda szczegółowych informacji o regule prywatnego punktu końcowego. | * account_id* network_connectivity_config_id* rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
Administrator konta wyświetla listę wszystkich reguł prywatnego punktu końcowego w ramach konfiguracji łączności sieciowej. | * account_id* network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
Administrator konta usunął regułę prywatnego punktu końcowego. | * account_id* network_connectivity_config_id* rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
Administrator konta zaktualizował regułę prywatnego punktu końcowego. | * account_id* network_connectivity_config_id* rule_id* azure_private_endpoint_rule |
Zdarzenia wykazu aparatu Unity
Następujące zdarzenia diagnostyczne są powiązane z wykazem aparatu Unity. Zdarzenia udostępniania różnicowego są również rejestrowane w unityCatalog ramach usługi. Aby uzyskać informacje o zdarzeniach udostępniania różnicowego, zobacz Zdarzenia udostępniania różnicowego. Zdarzenia inspekcji wykazu aparatu Unity mogą być rejestrowane na poziomie obszaru roboczego lub konta w zależności od zdarzenia.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
unityCatalog |
createMetastore |
Administrator konta tworzy magazyn metadanych. | * name* storage_root* workspace_id* metastore_id |
unityCatalog |
getMetastore |
Administrator konta żąda identyfikatora magazynu metadanych. | * id* workspace_id* metastore_id |
unityCatalog |
getMetastoreSummary |
Administrator konta żąda szczegółowych informacji o magazynie metadanych. | * workspace_id* metastore_id |
unityCatalog |
listMetastores |
Administrator konta żąda listy wszystkich magazynów metadanych na koncie. | * workspace_id |
unityCatalog |
updateMetastore |
Administrator konta wprowadza aktualizację do magazynu metadanych. | * id* owner* workspace_id* metastore_id |
unityCatalog |
deleteMetastore |
Administrator konta usuwa magazyn metadanych. | * id* force* workspace_id* metastore_id |
unityCatalog |
updateMetastoreAssignment |
Administrator konta aktualizuje przypisanie obszaru roboczego magazynu metadanych. | * workspace_id* metastore_id* default_catalog_name |
unityCatalog |
createExternalLocation |
Administrator konta tworzy lokalizację zewnętrzną. | * name* skip_validation* url* credential_name* workspace_id* metastore_id |
unityCatalog |
getExternalLocation |
Administrator konta żąda szczegółowych informacji o lokalizacji zewnętrznej. | * name_arg* include_browse* workspace_id* metastore_id |
unityCatalog |
listExternalLocations |
Lista żądań administratora konta wszystkich lokalizacji zewnętrznych na koncie. | * url* max_results* workspace_id* metastore_id |
unityCatalog |
updateExternalLocation |
Administrator konta wprowadza aktualizację do lokalizacji zewnętrznej. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
deleteExternalLocation |
Administrator konta usuwa lokalizację zewnętrzną. | * name_arg* force* workspace_id* metastore_id |
unityCatalog |
createCatalog |
Użytkownik tworzy wykaz. | * name* comment* workspace_id* metastore_id |
unityCatalog |
deleteCatalog |
Użytkownik usuwa wykaz. | * name_arg* workspace_id* metastore_id |
unityCatalog |
getCatalog |
Użytkownik żąda szczegółowych informacji o wykazie. | * name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
updateCatalog |
Użytkownik aktualizuje wykaz. | * name_arg* isolation_mode* comment* workspace_id* metastore_id |
unityCatalog |
listCatalog |
Użytkownik wykonuje wywołanie, aby wyświetlić listę wszystkich katalogów w magazynie metadanych. | * name_arg* workspace_id* metastore_id |
unityCatalog |
createSchema |
Użytkownik tworzy schemat. | * name* catalog_name* comment* workspace_id* metastore_id |
unityCatalog |
deleteSchema |
Użytkownik usuwa schemat. | * full_name_arg* force* workspace_id* metastore_id |
unityCatalog |
getSchema |
Użytkownik żąda szczegółowych informacji o schemacie. | * full_name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
listSchema |
Użytkownik żąda listy wszystkich schematów w wykazie. | * catalog_name |
unityCatalog |
updateSchema |
Użytkownik aktualizuje schemat. | * full_name_arg* name* workspace_id* metastore_id* comment |
unityCatalog |
createStagingTable |
* name* catalog_name* schema_name* workspace_id* metastore_id |
|
unityCatalog |
createTable |
Użytkownik tworzy tabelę. Parametry żądania różnią się w zależności od typu utworzonej tabeli. | * name* data_source_format* catalog_name* schema_name* storage_location* columns* dry_run* table_type* view_dependencies* view_definition* sql_path* comment |
unityCatalog |
deleteTable |
Użytkownik usuwa tabelę. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
getTable |
Użytkownik żąda szczegółów dotyczących tabeli. | * include_delta_metadata* full_name_arg* dependent* workspace_id* metastore_id |
unityCatalog |
privilegedGetTable |
* full_name_arg |
|
unityCatalog |
listTables |
Użytkownik wykonuje wywołanie , aby wyświetlić listę wszystkich tabel w schemacie. | * catalog_name* schema_name* workspace_id* metastore_id* include_browse |
unityCatalog |
listTableSummaries |
Użytkownik pobiera tablicę podsumowań dla tabel schematu i wykazu w magazynie metadanych. | * catalog_name* schema_name_pattern* workspace_id* metastore_id |
unityCatalog |
updateTables |
Użytkownik wprowadza aktualizację do tabeli. Wyświetlane parametry żądania różnią się w zależności od typu aktualizacji tabeli. | * full_name_arg* table_type* table_constraint_list* data_source_format* columns* dependent* row_filter* storage_location* sql_path* view_definition* view_dependencies* owner* comment* workspace_id* metastore_id |
unityCatalog |
createStorageCredential |
Administrator konta tworzy poświadczenia magazynu. Możesz zobaczyć dodatkowy parametr żądania na podstawie poświadczeń dostawcy usług w chmurze. | * name* comment* workspace_id* metastore_id |
unityCatalog |
listStorageCredentials |
Administrator konta wykonuje wywołanie, aby wyświetlić listę wszystkich poświadczeń magazynu na koncie. | * workspace_id* metastore_id |
unityCatalog |
getStorageCredential |
Administrator konta żąda szczegółowych informacji o poświadczenie magazynu. | * name_arg* workspace_id* metastore_id |
unityCatalog |
updateStorageCredential |
Administrator konta dokonuje aktualizacji poświadczeń magazynu. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
deleteStorageCredential |
Administrator konta usuwa poświadczenia magazynu. | * name_arg* workspace_id* metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Rejestrowane za każdym razem, gdy zostanie przyznane tymczasowe poświadczenie dla tabeli. To zdarzenie służy do określania, kto zapytał, co i kiedy. | * credential_id* credential_type* is_permissions_enforcing_client* table_full_name* operation* table_id* workspace_id* table_url* metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Rejestrowane za każdym razem, gdy zostanie przyznane tymczasowe poświadczenie dla ścieżki. | * url* operation* make_path_only_parent* workspace_id* metastore_id |
unityCatalog |
getPermissions |
Użytkownik wykonuje wywołanie w celu uzyskania szczegółów uprawnień dla zabezpieczanego obiektu. To wywołanie nie zwraca uprawnień dziedziczone, tylko jawnie przypisane uprawnienia. | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
getEffectivePermissions |
Użytkownik wykonuje wywołanie, aby uzyskać wszystkie szczegóły uprawnień dla zabezpieczanego obiektu. Skuteczne wywołanie uprawnień zwraca zarówno jawnie przypisane, jak i dziedziczone uprawnienia. | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
updatePermissions |
Użytkownik aktualizuje uprawnienia do zabezpieczanego obiektu. | * securable_type* changes* securable_full_name* workspace_id* metastore_id |
unityCatalog |
metadataSnapshot |
Użytkownik wykonuje zapytania dotyczące metadanych z poprzedniej wersji tabeli. | * securables* include_delta_metadata* workspace_id* metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
Użytkownik wykonuje zapytania dotyczące metadanych i uprawnień z poprzedniej wersji tabeli. | * securables* include_delta_metadata* workspace_id* metastore_id |
unityCatalog |
updateMetadataSnapshot |
Użytkownik aktualizuje metadane z poprzedniej wersji tabeli. | * table_list_snapshots* schema_list_snapshots* workspace_id* metastore_id |
unityCatalog |
getForeignCredentials |
Użytkownik wykonuje wywołanie, aby uzyskać szczegółowe informacje o kluczu obcym. | * securables* workspace_id* metastore_id |
unityCatalog |
getInformationSchema |
Użytkownik wykonuje wywołanie w celu uzyskania szczegółowych informacji o schemacie. | * table_name* page_token* required_column_names* row_set_type* required_column_names* workspace_id* metastore_id |
unityCatalog |
createConstraint |
Użytkownik tworzy ograniczenie dla tabeli. | * full_name_arg* constraint* workspace_id* metastore_id |
unityCatalog |
deleteConstraint |
Użytkownik usuwa ograniczenie dla tabeli. | * full_name_arg* constraint* workspace_id* metastore_id |
unityCatalog |
createPipeline |
Użytkownik tworzy potok wykazu aparatu Unity. | * target_catalog_name* has_workspace_definition* id* workspace_id* metastore_id |
unityCatalog |
updatePipeline |
Użytkownik aktualizuje potok wykazu aparatu Unity. | * id_arg* definition_json* id* workspace_id* metastore_id |
unityCatalog |
getPipeline |
Użytkownik żąda szczegółowych informacji o potoku wykazu aparatu Unity. | * id* workspace_id* metastore_id |
unityCatalog |
deletePipeline |
Użytkownik usuwa potok wykazu aparatu Unity. | * id* workspace_id* metastore_id |
unityCatalog |
deleteResourceFailure |
Nie można usunąć zasobu | Brak |
unityCatalog |
createVolume |
Użytkownik tworzy wolumin wykazu aparatu Unity. | * name* catalog_name* schema_name* volume_type* storage_location* owner* comment* workspace_id* metastore_id |
unityCatalog |
getVolume |
Użytkownik wykonuje wywołanie w celu uzyskania informacji na woluminie wykazu aparatu Unity. | * volume_full_name* workspace_id* metastore_id |
unityCatalog |
updateVolume |
Użytkownik aktualizuje metadane woluminu wykazu aparatu Unity za ALTER VOLUME pomocą wywołań lub COMMENT ON . |
* volume_full_name* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteVolume |
Użytkownik usuwa wolumin wykazu aparatu Unity. | * volume_full_name* workspace_id* metastore_id |
unityCatalog |
listVolumes |
Użytkownik wykonuje wywołanie w celu pobrania listy wszystkich woluminów wykazu aparatu Unity w schemacie. | * catalog_name* schema_name* workspace_id* metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Poświadczenie tymczasowe jest generowane, gdy użytkownik wykonuje odczyt lub zapis na woluminie. To zdarzenie służy do określania, kto uzyskiwał dostęp do woluminu i kiedy. | * volume_id* volume_full_name* operation* volume_storage_location* credential_id* credential_type* workspace_id* metastore_id |
unityCatalog |
getTagSecurableAssignments |
Przypisania tagów dla zabezpieczanego elementu są pobierane | * securable_type* securable_full_name* workspace_id* metastore_id |
unityCatalog |
getTagSubentityAssignments |
Przypisania tagów dla podentity są pobierane | * securable_type* securable_full_name* workspace_id* metastore_id* subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Przypisania tagów dla zabezpieczanego elementu są aktualizowane | * securable_type* securable_full_name* workspace_id* metastore_id* changes |
unityCatalog |
UpdateTagSubentityAssignments |
Zaktualizowano przypisania tagów dla podentity | * securable_type* securable_full_name* workspace_id* metastore_id* subentity_name* changes |
unityCatalog |
createRegisteredModel |
Użytkownik tworzy zarejestrowany model wykazu aparatu Unity. | * name* catalog_name* schema_name* owner* comment* workspace_id* metastore_id |
unityCatalog |
getRegisteredModel |
Użytkownik wykonuje wywołanie w celu uzyskania informacji na temat zarejestrowanego modelu wykazu aparatu Unity. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
updateRegisteredModel |
Użytkownik aktualizuje metadane zarejestrowanego modelu w wykazie aparatu Unity. | * full_name_arg* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteRegisteredModel |
Użytkownik usuwa zarejestrowany model wykazu aparatu Unity. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
listRegisteredModels |
Użytkownik wykonuje wywołanie w celu pobrania listy zarejestrowanych modeli wykazu aparatu Unity w schemacie lub listy modeli w katalogach i schematach. | * catalog_name* schema_name* max_results* page_token* workspace_id* metastore_id |
unityCatalog |
createModelVersion |
Użytkownik tworzy wersję modelu w katalogu aparatu Unity. | * catalog_name* schema_name* model_name* source* comment* workspace_id* metastore_id |
unityCatalog |
finalizeModelVersion |
Użytkownik wykonuje wywołanie "finalizowania" wersji modelu wykazu aparatu Unity po przekazaniu plików wersji modelu do lokalizacji magazynu, dzięki czemu jest tylko do odczytu i może korzystać z przepływów pracy wnioskowania. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
getModelVersion |
Użytkownik wykonuje wywołanie w celu uzyskania szczegółowych informacji na temat wersji modelu. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
getModelVersionByAlias |
Użytkownik wykonuje wywołanie w celu uzyskania szczegółowych informacji na temat wersji modelu przy użyciu aliasu. | * full_name_arg* include_aliases* alias_arg* workspace_id* metastore_id |
unityCatalog |
updateModelVersion |
Użytkownik aktualizuje metadane wersji modelu. | * full_name_arg* version_arg* name* owner* comment* workspace_id* metastore_id |
unityCatalog |
deleteModelVersion |
Użytkownik usuwa wersję modelu. | * full_name_arg* version_arg* workspace_id* metastore_id |
unityCatalog |
listModelVersions |
Użytkownik wykonuje wywołanie w celu uzyskania listy wersji modelu wykazu aparatu Unity w zarejestrowanym modelu. | * catalog_name* schema_name* model_name* max_results* page_token* workspace_id* metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Poświadczenie tymczasowe jest generowane, gdy użytkownik wykonuje zapis (podczas początkowej wersji modelu creaiton) lub odczyt (po sfinalizowaniu wersji modelu) w wersji modelu. To zdarzenie służy do określania, kto uzyskiwał dostęp do wersji modelu i kiedy. | * full_name_arg* version_arg* operation* model_version_url* credential_id* credential_type* workspace_id* metastore_id |
unityCatalog |
setRegisteredModelAlias |
Użytkownik ustawia alias w zarejestrowanym modelu wykazu aparatu Unity. | * full_name_arg* alias_arg* version |
unityCatalog |
deleteRegisteredModelAlias |
Użytkownik usuwa alias w zarejestrowanym modelu wykazu aparatu Unity. | * full_name_arg* alias_arg |
unityCatalog |
getModelVersionByAlias |
Użytkownik pobiera wersję modelu wykazu aparatu Unity według aliasu. | * full_name_arg* alias_arg |
unityCatalog |
createConnection |
Zostanie utworzone nowe połączenie obce. | * name* connection_type* workspace_id* metastore_id |
unityCatalog |
deleteConnection |
Połączenie obce jest usuwane. | * name_arg* workspace_id* metastore_id |
unityCatalog |
getConnection |
Pobierane jest połączenie obce. | * name_arg* workspace_id* metastore_id |
unityCatalog |
updateConnection |
Zaktualizowano połączenie obce. | * name_arg* owner* workspace_id* metastore_id |
unityCatalog |
listConnections |
Na liście znajdują się połączenia obce w magazynie metadanych. | * workspace_id* metastore_id |
unityCatalog |
createFunction |
Użytkownik tworzy nową funkcję. | * function_info* workspace_id* metastore_id |
unityCatalog |
updateFunction |
Użytkownik aktualizuje funkcję. | * full_name_arg* owner* workspace_id* metastore_id |
unityCatalog |
listFunctions |
Użytkownik żąda listy wszystkich funkcji w określonym katalogu nadrzędnym lub schemacie. | * catalog_name* schema_name* include_browse* workspace_id* metastore_id |
unityCatalog |
getFunction |
Użytkownik żąda funkcji z katalogu nadrzędnego lub schematu. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
deleteFunction |
Użytkownik żąda funkcji z katalogu nadrzędnego lub schematu. | * full_name_arg* workspace_id* metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
* links_infos* metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
* links_infos* metastore_id |
Zdarzenia udostępniania różnicowego
Zdarzenia udostępniania różnicowego są podzielone na dwie sekcje: zdarzenia zarejestrowane na koncie dostawcy danych i zdarzenia zarejestrowane na koncie odbiorcy danych.
Zdarzenia dostawcy udostępniania różnicowego
Następujące zdarzenia dziennika inspekcji są rejestrowane na koncie dostawcy. Akcje wykonywane przez adresatów zaczynają się od prefiksu deltaSharing . Każdy z tych dzienników zawiera request_params.metastore_idrównież element , który jest magazynem metadanych, który zarządza udostępnionymi danymi, oraz userIdentity.email, czyli identyfikatorem użytkownika, który zainicjował działanie.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Odbiorca danych żąda listy udziałów. | * options: opcje stronicowania dostarczone z tym żądaniem.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingGetShare |
Odbiorca danych żąda szczegółów dotyczących udziałów. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListSchemas |
Odbiorca danych żąda listy schematów udostępnionych. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* options: opcje stronicowania dostarczone z tym żądaniem.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListAllTables |
Odbiorca danych żąda listy wszystkich udostępnionych tabel. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListTables |
Odbiorca danych żąda listy tabel udostępnionych. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* options: opcje stronicowania dostarczone z tym żądaniem.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingGetTableMetadata |
Odbiorca danych żąda szczegółowych informacji o metadanych tabeli. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* schema: nazwa schematu.* name: nazwa tabeli.* predicateHints: Predykaty zawarte w zapytaniu.* limitHints: maksymalna liczba wierszy do zwrócenia.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingGetTableVersion |
Odbiorca danych żąda szczegółowych informacji o wersji tabeli. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* schema: nazwa schematu.* name: nazwa tabeli.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingQueryTable |
Rejestrowane, gdy adresat danych wysyła zapytanie do udostępnionej tabeli. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* schema: nazwa schematu.* name: nazwa tabeli.* predicateHints: Predykaty zawarte w zapytaniu.* limitHints: maksymalna liczba wierszy do zwrócenia.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingQueryTableChanges |
Rejestrowane, gdy adresat danych wysyła zapytania dotyczące zmiany danych dla tabeli. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* schema: nazwa schematu.* name: nazwa tabeli.* cdf_options: Zmień opcje źródła danych.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingQueriedTable |
Zarejestrowane po tym, jak odbiorca danych otrzyma odpowiedź na zapytanie. Pole response.result zawiera więcej informacji na temat zapytania odbiorcy (zobacz Inspekcja i monitorowanie udostępniania danych) |
* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingQueriedTableChanges |
Zarejestrowane po tym, jak odbiorca danych otrzyma odpowiedź na zapytanie. Pole response.result zawiera więcej informacji na temat zapytania odbiorcy (zobacz Inspekcja i monitorowanie udostępniania danych). |
* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListNotebookFiles |
Adresat danych żąda listy udostępnionych plików notesu. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingQueryNotebookFile |
Adresat danych wysyła zapytanie do udostępnionego pliku notesu. | * file_name: nazwa pliku notesu.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListFunctions |
Odbiorca danych żąda listy funkcji w schemacie nadrzędnym. | * share: nazwa udziału.* schema: nazwa nadrzędnego schematu funkcji.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListAllFunctions |
Odbiorca danych żąda listy wszystkich funkcji udostępnionych. | * share: nazwa udziału.* schema: nazwa nadrzędnego schematu funkcji.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListFunctionVersions |
Adresat danych żąda listy wersji funkcji. | * share: nazwa udziału.* schema: nazwa nadrzędnego schematu funkcji.* function: nazwa funkcji.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListVolumes |
Odbiorca danych żąda listy udostępnionych woluminów w schemacie. | * share: nazwa udziału.* schema: schemat nadrzędny woluminów.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
deltaSharingListAllVolumes |
Odbiorca danych żąda wszystkich udostępnionych woluminów. | * share: nazwa udziału.* recipient_name: wskazuje adresata wykonującego akcję.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. W przeciwnym razie wartość true, jeśli żądanie zostało odrzucone i fałszywe, jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
updateMetastore |
Dostawca aktualizuje swój magazyn metadanych. | * delta_sharing_scope: Wartości mogą mieć wartość INTERNAL lub INTERNAL_AND_EXTERNAL.* delta_sharing_recipient_token_lifetime_in_seconds: jeśli jest obecny, wskazuje, że okres istnienia tokenu odbiorcy został zaktualizowany. |
unityCatalog |
createRecipient |
Dostawca tworzy adresata danych. | * name: nazwa adresata.* comment: komentarz dla adresata.* ip_access_list.allowed_ip_addresses: Lista dozwolonych adresów IP adresata. |
unityCatalog |
deleteRecipient |
Dostawca usuwa adresata danych. | * name: nazwa adresata. |
unityCatalog |
getRecipient |
Dostawca żąda szczegółów dotyczących adresata danych. | * name: nazwa adresata. |
unityCatalog |
listRecipients |
Dostawca żąda listy wszystkich swoich adresatów danych. | Brak |
unityCatalog |
rotateRecipientToken |
Dostawca obraca token odbiorcy. | * name: nazwa adresata.* comment: komentarz podany w poleceniu rotacji. |
unityCatalog |
updateRecipient |
Dostawca aktualizuje atrybuty adresata danych. | * name: nazwa adresata.* updates: reprezentacja atrybutów adresata w formacie JSON, które zostały dodane lub usunięte z udziału. |
unityCatalog |
createShare |
Dostawca aktualizuje atrybuty adresata danych. | * name: nazwa udziału.* comment: komentarz do udziału. |
unityCatalog |
deleteShare |
Dostawca aktualizuje atrybuty adresata danych. | * name: nazwa udziału. |
unityCatalog |
getShare |
Dostawca żąda szczegółowych informacji o udziale. | * name: nazwa udziału.* include_shared_objects: czy nazwy tabel udziału zostały uwzględnione w żądaniu. |
unityCatalog |
updateShare |
Dostawca dodaje lub usuwa zasoby danych z udziału. | * name: nazwa udziału.* updates: reprezentacja JSON zasobów danych, które zostały dodane lub usunięte z udziału. Każdy element zawiera action (dodaj lub usuń) name (rzeczywistą nazwę tabeli), shared_as (nazwę zasobu została udostępniona tak, jakby różniła się od rzeczywistej nazwy) i partition_specification (jeśli podano specyfikację partycji). |
unityCatalog |
listShares |
Dostawca żąda listy swoich udziałów. | Brak |
unityCatalog |
getSharePermissions |
Dostawca żąda szczegółów dotyczących uprawnień udziału. | * name: nazwa udziału. |
unityCatalog |
updateSharePermissions |
Dostawca aktualizuje uprawnienia udziału. | * name: nazwa udziału.* changes: reprezentacja JSON zaktualizowanych uprawnień. Każda zmiana obejmuje principal (użytkownika lub grupę, której uprawnienie zostało przyznane lub odwołane), add (lista udzielonych uprawnień) i remove (lista uprawnień, które zostały odwołane). |
unityCatalog |
getRecipientSharePermissions |
Dostawca żąda szczegółowych informacji o uprawnieniach do udziału adresata. | * name: nazwa udziału. |
unityCatalog |
getActivationUrlInfo |
Dostawca żąda szczegółowych informacji o aktywności w linku aktywacji. | * recipient_name: nazwa adresata, który otworzył adres URL aktywacji.* is_ip_access_denied: Brak, jeśli nie skonfigurowano listy dostępu do adresów IP. true W przeciwnym razie, jeśli żądanie zostało odrzucone i false jeśli żądanie nie zostało odrzucone. sourceIPaddress to adres IP adresata. |
unityCatalog |
generateTemporaryVolumeCredential |
Tymczasowe poświadczenia są generowane dla adresata w celu uzyskania dostępu do udostępnionego woluminu. | * share_name: nazwa udziału, za pośrednictwem którego odbiorca żąda.* share_id: identyfikator udziału.* share_owner: właściciel udziału.* recipient_name: nazwa adresata, który żąda poświadczeń.* recipient_id: identyfikator odbiorcy.* volume_full_name: pełna 3-poziomowa nazwa woluminu.* volume_id: identyfikator woluminu.* volume_storage_location: ścieżka chmury katalogu głównego woluminu.* operationREAD_VOLUME: albo lub WRITE_VOLUME. W przypadku udostępniania woluminów obsługiwana jest tylko READ_VOLUME funkcja .* credential_id: identyfikator poświadczenia.* credential_type: typ poświadczenia. Wartość to zawsze StorageCredential.* workspace_id: wartość jest zawsze 0 wtedy, gdy żądanie dotyczy udostępnionych woluminów. |
unityCatalog |
generateTemporaryTableCredential |
Tymczasowe poświadczenia są generowane dla adresata w celu uzyskania dostępu do udostępnionej tabeli. | * share_name: nazwa udziału, za pośrednictwem którego odbiorca żąda.* share_id: identyfikator udziału.* share_owner: właściciel udziału.* recipient_name: nazwa adresata, który żąda poświadczeń.* recipient_id: identyfikator odbiorcy.* table_full_name: pełna 3-poziomowa nazwa tabeli.* table_id: identyfikator tabeli.* table_url: ścieżka chmury katalogu głównego tabeli.* operationREAD: albo lub READ_WRITE.* credential_id: identyfikator poświadczenia.* credential_type: typ poświadczenia. Wartość to zawsze StorageCredential.* workspace_id: wartość jest zawsze 0 wtedy, gdy żądanie dotyczy tabel udostępnionych. |
Zdarzenia adresata udostępniania różnicowego
Następujące zdarzenia są rejestrowane na koncie odbiorcy danych. Te zdarzenia rejestrują dostęp adresatów do udostępnionych danych i zasobów sztucznej inteligencji wraz ze zdarzeniami skojarzonymi z zarządzaniem dostawcami. Każde z tych zdarzeń zawiera również następujące parametry żądania:
recipient_name: nazwa odbiorcy w systemie dostawcy danych.metastore_id: nazwa magazynu metadanych w systemie dostawcy danych.sourceIPAddress: adres IP, na którym pochodzi żądanie.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Odbiorca danych żąda szczegółów dotyczących udostępnionej wersji tabeli. | * share: nazwa udziału.* schema: nazwa schematu nadrzędnego tabeli.* name: nazwa tabeli. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Odbiorca danych żąda szczegółów dotyczących metadanych udostępnionej tabeli. | * share: nazwa udziału.* schema: nazwa schematu nadrzędnego tabeli.* name: nazwa tabeli. |
unityCatalog |
deltaSharingProxyQueryTable |
Adresat danych wysyła zapytanie do udostępnionej tabeli. | * share: nazwa udziału.* schema: nazwa schematu nadrzędnego tabeli.* name: nazwa tabeli.* limitHints: maksymalna liczba wierszy do zwrócenia.* predicateHints: Predykaty zawarte w zapytaniu.* version: Wersja tabeli, jeśli źródło danych zmiany jest włączone. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Adresat danych wysyła zapytania dotyczące zmiany danych dla tabeli. | * share: nazwa udziału.* schema: nazwa schematu nadrzędnego tabeli.* name: nazwa tabeli.* cdf_options: Zmień opcje źródła danych. |
unityCatalog |
createProvider |
Odbiorca danych tworzy obiekt dostawcy. | * name: nazwa dostawcy.* comment: komentarz dostawcy. |
unityCatalog |
updateProvider |
Odbiorca danych aktualizuje obiekt dostawcy. | * name: nazwa dostawcy.* updates: reprezentacja atrybutów dostawcy w formacie JSON, które zostały dodane lub usunięte z udziału. Każdy element zawiera action (dodawanie lub usuwanie) i może zawierać name (nową nazwę dostawcy), owner (nowego właściciela) i comment. |
unityCatalog |
deleteProvider |
Odbiorca danych usuwa obiekt dostawcy. | * name: nazwa dostawcy. |
unityCatalog |
getProvider |
Odbiorca danych żąda szczegółów dotyczących obiektu dostawcy. | * name: nazwa dostawcy. |
unityCatalog |
listProviders |
Odbiorca danych żąda listy dostawców. | Brak |
unityCatalog |
activateProvider |
Odbiorca danych aktywuje obiekt dostawcy. | * name: nazwa dostawcy. |
unityCatalog |
listProviderShares |
Odbiorca danych żąda listy udziałów dostawcy. | * name: nazwa dostawcy. |
unityCatalog |
generateTemporaryVolumeCredential |
Tymczasowe poświadczenia są generowane dla adresata w celu uzyskania dostępu do udostępnionego woluminu. | * share_name: nazwa udziału, za pośrednictwem którego odbiorca żąda.* volume_full_name: pełna 3-poziomowa nazwa woluminu.* volume_id: identyfikator woluminu.* operationREAD_VOLUME: albo lub WRITE_VOLUME. W przypadku udostępniania woluminów obsługiwana jest tylko READ_VOLUME funkcja .* workspace_id: identyfikator obszaru roboczego, który odbiera żądanie użytkownika. |
unityCatalog |
generateTemporaryTableCredential |
Tymczasowe poświadczenia są generowane dla adresata w celu uzyskania dostępu do udostępnionej tabeli. | * share_name: nazwa udziału, za pośrednictwem którego odbiorca żąda.* table_full_name: pełna 3-poziomowa nazwa tabeli.* table_id: identyfikator tabeli.* operationREAD: albo lub READ_WRITE.* workspace_id: identyfikator obszaru roboczego, który odbiera żądanie użytkownika. |
Dodatkowe zdarzenia monitorowania zabezpieczeń
W przypadku zasobów obliczeniowych usługi Azure Databricks w klasycznej płaszczyźnie obliczeniowej, takich jak maszyny wirtualne dla klastrów i klasycznych magazynów SQL, następujące funkcje umożliwiają korzystanie z dodatkowych agentów monitorowania:
- Ulepszone monitorowanie zabezpieczeń
- Profil zabezpieczeń zgodności. Profil zabezpieczeń zgodności jest wymagany w przypadku mechanizmów kontroli zgodności dla standardu PCI-DSS.
Zdarzenia monitorowania integralności plików
capsule8-alerts-dataplane Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Regularne zdarzenie potwierdzające, że monitor jest włączony. Obecnie działa co 10 minut. | * instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
Pamięć jest często oznaczona jako plik wykonywalny, aby umożliwić wykonywanie złośliwego kodu podczas wykorzystywania aplikacji. Alerty, gdy program ustawia uprawnienia stosu lub pamięci stosu do pliku wykonywalnego. Może to spowodować fałszywie dodatnie wyniki dla niektórych serwerów aplikacji. | * instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Monitoruje integralność ważnych plików systemowych. Alerty dotyczące wszelkich nieautoryzowanych zmian w tych plikach. Usługa Databricks definiuje określone zestawy ścieżek systemowych na obrazie, a ten zestaw ścieżek może ulec zmianie w czasie. | * instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Zmiany w jednostkach systemowych mogą spowodować złagodzenie lub wyłączenie mechanizmów kontroli zabezpieczeń albo instalację złośliwej usługi. Alerty za każdym razem, gdy plik jednostkowy systemd jest modyfikowany przez program inny niż systemctl. |
* instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Powtarzające się awarie programu mogą wskazywać, że osoba atakująca próbuje wykorzystać lukę w zabezpieczeniach uszkodzeń pamięci lub że występuje problem ze stabilnością w aplikacji, której dotyczy problem. Alerty w przypadku awarii więcej niż 5 wystąpień pojedynczego programu za pośrednictwem błędu segmentacji. | * instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Ponieważ kontenery są zwykle obciążeniami statycznymi, ten alert może wskazywać, że osoba atakująca naruszyła kontener i próbuje zainstalować i uruchomić backdoor. Alerty, gdy plik, który został utworzony lub zmodyfikowany w ciągu 30 minut, zostanie wykonany w kontenerze. | * instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
Pamięć jest często oznaczona jako plik wykonywalny, aby umożliwić wykonywanie złośliwego kodu podczas wykorzystywania aplikacji. Alerty, gdy program ustawia uprawnienia stosu lub pamięci stosu do pliku wykonywalnego. Może to spowodować fałszywie dodatnie wyniki dla niektórych serwerów aplikacji. | * instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Interaktywne powłoki są rzadkimi wystąpieniami nowoczesnej infrastruktury produkcyjnej. Alerty, gdy interaktywna powłoka jest uruchamiana z argumentami często używanymi w przypadku powłok odwrotnych. | * instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Unikanie rejestrowania poleceń jest powszechną praktyką dla osób atakujących, ale może również wskazywać, że uprawniony użytkownik wykonuje nieautoryzowane działania lub próbuje uniknąć zasad. Alerty po wykryciu zmiany rejestrowania historii poleceń użytkownika, co oznacza, że użytkownik próbuje uniknąć rejestrowania poleceń. | * instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Wykrywa niektóre typy backdoorów jądra. Ładowanie nowego programu Berkeley Packet Filter (BPF) może wskazywać, że osoba atakująca ładuje zestaw rootkit oparty na BPF, aby uzyskać trwałość i uniknąć wykrywania. Alerty, gdy proces ładuje nowy uprzywilejowany program BPF, jeśli proces, który jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Osoby atakujące często ładują złośliwe moduły jądra (rootkits), aby uniknąć wykrywania i zachowywania trwałości w węźle z naruszonymi zabezpieczeniami. Alerty po załadowaniu modułu jądra, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Osoby atakujące mogą tworzyć lub zmieniać nazwy złośliwych plików binarnych w celu uwzględnienia miejsca na końcu nazwy w celu personifikacji wiarygodnego programu lub usługi systemu. Alerty, gdy program jest wykonywany z spacją po nazwie programu. | * instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Luki w eskalacji uprawnień jądra często umożliwiają nieuprzywilejowanym użytkownikowi uzyskanie uprawnień głównych bez przekazywania standardowych bram w przypadku zmian uprawnień. Alerty, gdy program próbuje podnieść poziom uprawnień za pomocą nietypowych środków. Może to wystawiać fałszywie dodatnie alerty w węzłach o znaczących obciążeniach. | * instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Wewnętrzne funkcje jądra nie są dostępne dla zwykłych programów, a jeśli są wywoływane, są silnym wskaźnikiem, że program wykorzystujący jądro został wykonany i że osoba atakująca ma pełną kontrolę nad węzłem. Alerty, gdy funkcja jądra nieoczekiwanie powraca do miejsca użytkownika. | * instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SmeP i SMAP to zabezpieczenia na poziomie procesora, które zwiększają trudności z wykorzystaniem luk w zabezpieczeniach jądra w celu pomyślnego działania, a wyłączenie tych ograniczeń jest typowym wczesnym krokiem w wykorzystaniu jądra. Alerty, gdy program manipulował konfiguracją SMEP/SMAP jądra. | * instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Alerty, gdy program używa funkcji jądra powszechnie używanych w programach wykorzystujących luki w zabezpieczeniach kontenera, co wskazuje, że osoba atakująca eskaluje uprawnienia z dostępu kontenera do węzła. | * instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Kontenery uprzywilejowane mają bezpośredni dostęp do zasobów hosta, co prowadzi do większego wpływu w przypadku naruszenia zabezpieczeń. Alerty po uruchomieniu uprzywilejowanego kontenera, jeśli kontener nie jest znanym uprzywilejowanym obrazem, takim jak kube-proxy. Może to wystawiać niechciane alerty dla uzasadnionych uprzywilejowanych kontenerów. | * instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Wiele kontenerów powoduje ucieczkę hosta w celu wykonania pliku binarnego w kontenerze, co powoduje uzyskanie pełnej kontroli nad węzłem, którego dotyczy problem. Alerty po wykonaniu pliku utworzonego przez kontener spoza kontenera. | * instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
Modyfikacja niektórych atrybutów AppArmor może wystąpić tylko w jądrze, co oznacza, że funkcja AppArmor została wyłączona przez program wykorzystujący jądro lub rootkit. Alerty po zmianie stanu AppArmor z konfiguracji AppArmor wykrytej podczas uruchamiania czujnika. | * instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Osoby atakujące mogą próbować wyłączyć wymuszanie profilów AppArmor w ramach wykrywania unikania. Alerty, gdy jest wykonywane polecenie modyfikowania profilu AppArmor, jeśli nie zostało wykonane przez użytkownika w sesji SSH. | * instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Jeśli nie jest wykonywane przez zaufane źródło (takie jak menedżer pakietów lub narzędzie do zarządzania konfiguracją), modyfikacja plików rozruchowych może wskazywać, że osoba atakująca modyfikuje jądro lub jego opcje w celu uzyskania trwałego dostępu do hosta. Alerty dotyczące zmian w plikach w /bootprogramie wskazujących instalację nowego jądra lub konfiguracji rozruchu. |
* instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
Usunięcie dziennika nie jest wykonywane przez narzędzie do zarządzania dziennikami może wskazywać, że osoba atakująca próbuje usunąć wskaźniki naruszenia zabezpieczeń. Alerty dotyczące usuwania plików dziennika systemu. | * instanceId |
capsule8-alerts-dataplane |
New File Executed |
Nowo utworzone pliki ze źródeł innych niż programy aktualizacji systemu mogą być backdoorami, programami wykorzystującymi jądro lub częścią łańcucha eksploatacji. Alerty, gdy plik, który został utworzony lub zmodyfikowany w ciągu 30 minut, jest następnie wykonywany, z wyłączeniem plików utworzonych przez programy aktualizacji systemu. | * instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
Modyfikacja głównego magazynu certyfikatów może wskazywać na instalację nieautoryzacyjnego urzędu certyfikacji, umożliwiając przechwycenie ruchu sieciowego lub obejście weryfikacji podpisu kodu. Alerty w przypadku zmiany magazynu certyfikatów urzędu certyfikacji systemu. | * instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Bity ustawień setuid/setgid mogą służyć do zapewnienia trwałej metody eskalacji uprawnień w węźle. Alerty, gdy bit lub setuidsetgid jest ustawiony w pliku z rodziną chmod wywołań systemowych. |
* instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Osoby atakujące często tworzą ukryte pliki jako środek zaciemnianiania narzędzi i ładunków na naruszonym hoście. Alerty, gdy ukryty plik jest tworzony przez proces skojarzony z trwającym zdarzeniem. | * instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Osoby atakujące mogą modyfikować narzędzia systemowe w celu wykonywania złośliwych ładunków przy każdym uruchomieniu tych narzędzi. Alerty, gdy typowe narzędzie systemowe jest modyfikowane przez nieautoryzowany proces. | * instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Osoba atakująca lub nieautoryzowani użytkownik może użyć lub zainstalować te programy do badania połączonych sieci w celu naruszenia zabezpieczeń dodatkowych węzłów. Alerty po wykonaniu typowych narzędzi do skanowania sieci. | * instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Osoby atakujące mogą uruchomić nową usługę sieciową, aby zapewnić łatwy dostęp do hosta po naruszeniu zabezpieczeń. Alerty, gdy program uruchamia nową usługę sieciową, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Osoba atakująca lub nieuczciwy użytkownik może wykonywać polecenia wąchania sieci w celu przechwytywania poświadczeń, danych osobowych lub innych poufnych informacji. Alerty po wykonaniu programu, który umożliwia przechwytywanie sieci. | * instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
Użycie narzędzi transferu plików może wskazywać, że osoba atakująca próbuje przenieść zestawy narzędzi do dodatkowych hostów lub eksfiltrować dane do systemu zdalnego. Alerty po wykonaniu programu skojarzonego ze zdalnym kopiowaniem plików, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Kanały poleceń i kontroli oraz górnicy crypto bitcoin często tworzą nowe połączenia sieciowe wychodzące na nietypowych portach. Alerty, gdy program inicjuje nowe połączenie na nietypowym porcie, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Po uzyskaniu dostępu do systemu osoba atakująca może utworzyć skompresowane archiwum plików w celu zmniejszenia rozmiaru danych na potrzeby eksfiltracji. Alerty po wykonaniu programu kompresji danych, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Process Injection |
Użycie technik iniekcji procesów często wskazuje, że użytkownik debuguje program, ale może również wskazywać, że osoba atakująca odczytuje wpisy tajne z lub wprowadza kod do innych procesów. Alerty, gdy program używa ptrace (debugowania) mechanizmów do interakcji z innym procesem. |
* instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Osoby atakujące często używają programów wyliczania kont, aby określić ich poziom dostępu i sprawdzić, czy inni użytkownicy są obecnie zalogowani do węzła. Alerty po wykonaniu programu skojarzonego z wyliczeniem konta, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Eksplorowanie systemów plików jest typowym zachowaniem po wykorzystaniu w przypadku osoby atakującej, która szuka zainteresowanych poświadczeń i danych. Alerty po wykonaniu programu skojarzonego z wyliczaniem plików i katalogów, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Osoby atakujące mogą przesłuchiwkać sieć lokalną i kierować informacje w celu zidentyfikowania sąsiednich hostów i sieci przed ruchem bocznym. Alerty po wykonaniu programu skojarzonego z wyliczeniem konfiguracji sieci, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Osoby atakujące często wyświetlają listę uruchomionych programów w celu zidentyfikowania przeznaczenia węzła oraz tego, czy istnieją jakiekolwiek narzędzia do monitorowania lub zabezpieczeń. Alerty po wykonaniu programu skojarzonego z wyliczaniem procesów, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Osoby atakujące często wykonują polecenia wyliczania systemu w celu określenia wersji i funkcji i jądra systemu Linux, często w celu określenia, czy węzeł ma wpływ na określone luki w zabezpieczeniach. Alerty po wykonaniu programu skojarzonego z wyliczaniem informacji systemowych, jeśli program jest już częścią trwającego zdarzenia. | * instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
Modyfikowanie zaplanowanych zadań jest typową metodą ustanawiania trwałości w węźle, na których występuje naruszenie zabezpieczeń. Alerty, gdy crontabpolecenia , atlub batch są używane do modyfikowania zaplanowanych konfiguracji zadań. |
* instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Zmiany w jednostkach systemowych mogą spowodować złagodzenie lub wyłączenie mechanizmów kontroli zabezpieczeń albo instalację złośliwej usługi. Alerty, gdy systemctl polecenie jest używane do modyfikowania jednostek systemowych. |
* instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
Jawna eskalacja do użytkownika głównego zmniejsza możliwość korelowania działań uprzywilejowanych z określonym użytkownikiem. Alerty po wykonaniu su polecenia. |
* instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Alerty po wykonaniu sudo polecenia. |
* instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
Usunięcie pliku historii jest nietypowe, często wykonywane przez osoby atakujące ukrywające działania lub przez uprawnionych użytkowników zamierzających uniknąć kontroli inspekcji. Alerty po usunięciu plików historii wiersza polecenia. | * instanceId |
capsule8-alerts-dataplane |
New System User Added |
Osoba atakująca może dodać nowego użytkownika do hosta, aby zapewnić niezawodną metodę dostępu. Alerty, jeśli nowa jednostka użytkownika zostanie dodana do lokalnego pliku /etc/passwdzarządzania kontami , jeśli jednostka nie zostanie dodana przez program aktualizacji systemu. |
* instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Osoby atakujące mogą bezpośrednio modyfikować pliki związane z tożsamościami, aby dodać nowego użytkownika do systemu. Alerty, gdy plik związany z hasłami użytkownika jest modyfikowany przez program niezwiązany z aktualizowaniem istniejących informacji o użytkowniku. | * instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Dodanie nowego klucza publicznego SSH jest typową metodą uzyskiwania trwałego dostępu do hosta, który został naruszony. Alerty, gdy próba zapisania pliku SSH authorized_keys użytkownika jest obserwowana, jeśli program jest już częścią trwającego zdarzenia. |
* instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
Dodanie nowego użytkownika jest typowym krokiem dla osób atakujących podczas ustanawiania trwałości w węźle z naruszonymi zabezpieczeniami. Alerty, gdy program zarządzania tożsamościami jest wykonywany przez program inny niż menedżer pakietów. | * instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
Usunięcie pliku historii jest nietypowe, często wykonywane przez osoby atakujące ukrywające działania lub przez uprawnionych użytkowników zamierzających uniknąć kontroli inspekcji. Alerty po usunięciu plików historii wiersza polecenia. | * instanceId |
capsule8-alerts-dataplane |
New System User Added |
Pliki profilu użytkownika i konfiguracji są często modyfikowane jako metoda trwałości w celu wykonania programu za każdym razem, gdy użytkownik loguje się. Alerty, gdy .bash_profile i bashrc (a także powiązane pliki) są modyfikowane przez program inny niż narzędzie aktualizacji systemu. |
* instanceId |
Zdarzenia monitorowania oprogramowania antywirusowego
Uwaga
Obiekt response JSON w tych dziennikach inspekcji zawsze zawiera result pole zawierające jeden wiersz oryginalnego wyniku skanowania. Każdy wynik skanowania jest zwykle reprezentowany przez wiele rekordów dziennika inspekcji, po jednym dla każdego wiersza oryginalnych danych wyjściowych skanowania. Aby uzyskać szczegółowe informacje o tym, co można znaleźć w tym pliku, zobacz następującą dokumentację innej firmy.
clamAVScanService-dataplane Następujące zdarzenie jest rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Monitorowanie programu antywirusowego przeprowadza skanowanie. Dziennik zostanie wygenerowany dla każdego wiersza oryginalnych danych wyjściowych skanowania. | * instanceId |
Zdarzenia dziennika systemu
Uwaga
Obiekt response JSON w dzienniku inspekcji zawiera result pole zawierające oryginalną zawartość dziennika systemu.
syslog Następujące zdarzenie jest rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
syslog |
processEvent |
Dziennik systemu przetwarza zdarzenie. | * instanceId* processName |
Zdarzenia dziennika monitorowania procesów
monit Następujące zdarzenia są rejestrowane na poziomie obszaru roboczego.
| Usługa | Akcja | opis | Parametry żądania |
|---|---|---|---|
monit |
processNotRunning |
Monitor nie jest uruchomiony. | * instanceId* processName |
monit |
processRestarting |
Monitor jest uruchamiany ponownie. | * instanceId* processName |
monit |
processStarted |
Monitor został uruchomiony. | * instanceId* processName |
monit |
processRunning |
Monitor jest uruchomiony. | * instanceId* processName |
Przestarzałe zdarzenia dziennika
Usługa Databricks wycofała następujące zdarzenia diagnostyczne:
createAlertDestination(terazcreateNotificationDestination)deleteAlertDestination(terazdeleteNotificationDestination)updateAlertDestination(terazupdateNotificationDestination)
Dzienniki punktów końcowych SQL
Jeśli tworzysz magazyny SQL przy użyciu przestarzałego interfejsu API punktu końcowego SQL (poprzedniej nazwy dla magazynów SQL), odpowiednia nazwa zdarzenia inspekcji będzie zawierać słowo Endpoint zamiast Warehouse. Oprócz nazwy te zdarzenia są identyczne z zdarzeniami usługi SQL Warehouse. Aby wyświetlić opisy i parametry żądania tych zdarzeń, zobacz odpowiadające im zdarzenia magazynu w zdarzeniach SQL usługi Databricks.
Zdarzenia punktu końcowego SQL to:
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig