共用方式為

診斷記錄參考

  • 發行項

注意

此功能需要 進階版 方案

本文提供可用稽核記錄服務和事件的完整參考。 藉由瞭解哪些事件記錄在診斷記錄中,您的企業可以監視帳戶中詳細的 Azure Databricks 使用模式。

存取與查詢您帳戶稽核紀錄的最簡單方式是使用 系統資料表 (公開預覽)

如果您想要設定一般記錄傳遞,請參閱 設定診斷記錄傳遞

Azure Databricks 會針對安全性和詐騙分析目的,保留最多 1 年的稽核記錄複本。

診斷記錄服務

診斷記錄中預設會記錄下列服務及其事件。

工作區層級服務

服務名稱 描述
帳戶 與帳戶、使用者、群組和IP存取清單相關的事件。
集群 與叢集相關的事件。
clusterPolicies 與叢集原則相關的事件。
儀錶板 與 Lakeview 儀錶板使用相關的事件。
databrickssql 與 Databricks SQL 使用相關的事件。
dbfs DBFS 相關的事件。
deltaPipelines Delta Live Table 管線相關的事件。
featureStore Databricks 功能存放區相關的事件。
filesystem 與檔案 API 相關的事件。
精靈 支持人員存取工作區的相關事件。
gitCredentials 與 Databricks Git 資料夾的 Git 認證相關的事件。 請參閱 repos
globalInitScripts 與全域 init 腳本相關的事件。
與帳戶和工作區群組相關的事件。
攝入 與檔案上傳相關的事件。
instancePools 集區相關的事件。
jobs 與作業相關的事件。
marketplaceConsumer Databricks Marketplace 中取用者動作的相關事件。
marketplaceProvider Databricks Marketplace 中與提供者動作相關的事件。
mlflowAcledArtifact 使用 ACL 與 ML Flow 成品相關的事件。
mlflowExperiment 與 ML Flow 實驗相關的事件。
modelRegistry 與模型登錄相關的事件。
筆記本 與筆記本相關的事件。
partner 連線 合作夥伴 連線相關的事件。
remoteHistoryService 與新增移除 GitHub 認證相關的事件。
repos Databricks Git 資料夾相關的事件。 請參閱 gitCredentials
秘密 秘密相關的事件。
serverlessRealTimeInference 模型服務相關的事件。
sqlPermissions 與舊版Hive中繼存放區數據表訪問控制相關的事件。
Ssh 與 SSH 存取相關的事件。
vectorSearch 與向量搜尋相關的事件。
webTerminal Web 終端機 功能相關的事件。
工作 與工作區相關的事件。

帳戶層級服務

這些服務可使用帳戶層級稽核記錄:

服務名稱 描述
accountBillableUsage 與帳戶控制台中可計費使用量存取相關的動作。
accountsAccessControl 與帳戶層級訪問控制規則相關的動作。
accountsManager 與網路連線設定相關的動作。
unityCatalog 在 Unity 目錄中執行的動作。 這也包括差異共用事件,請參閱 Delta Sharing 事件

其他安全性監視服務

針對使用 合規性安全性配置檔 的工作區,還有其他服務和相關聯的動作(FedRAMP、PCI 和 HIPAA 等一些合規性標準需要)或 增強式安全性監視

這些是工作區層級服務,只有在您使用合規性安全性配置檔或增強式安全性監視時,才會在您的記錄中產生:

服務名稱 描述
capsule8-alerts-dataplane 與檔案完整性監視相關的動作。
clamAVScanService-dataplanel 與防毒監視相關的動作。
monit 與行程監視器相關的動作。
Syslog 與系統記錄相關的動作。

診斷記錄範例架構

在 Azure Databricks 中,診斷會記錄 JSON 格式的輸出事件。 在 Azure Databricks 中,稽核會以 JSON 格式記錄輸出事件。 serviceNameactionName 屬性會識別事件。 命名慣例遵循 Databricks REST API

下列 JSON 範例是使用者建立作業時所記錄的事件範例:

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

診斷記錄架構考慮

  • 如果動作需要很長的時間,則會個別記錄要求和回應,但要求和回應組具有相同 requestId的 。
  • 用戶會 System-User執行自動調整或啟動因排程而調整叢集大小等自動化動作。
  • 欄位 requestParams 受限於截斷。 如果 JSON 表示的大小超過 100 KB,則會截斷值,並將字串 ... truncated 附加至截斷的專案。 在截斷的對應仍然大於 100 KB 的罕見情況下,會改為有空值的單 TRUNCATED 一索引鍵。

帳戶事件

以下是 accounts 在工作區層級記錄的事件。

服務 動作 描述 要求參數
accounts activateUser 停用之後,用戶會重新啟用。 請參閱 停用工作區中的使用者。 * targetUserName
* endpoint
* targetUserId
accounts aadBrowserLogin 使用者使用 Microsoft Entra ID(先前稱為 Azure Active Directory) 令牌登入 Databricks。 * user
accounts aadTokenLogin 使用者透過 Microsoft Entra ID(先前稱為 Azure Active Directory)瀏覽器工作流程登入 Databricks。 * user
accounts accountInHouseOAuthClientAuthentication OAuth 用戶端已驗證。 * endpoint
accounts activateUser 管理員 從 Azure 入口網站 將使用者新增至 Databricks 帳戶。 * warehouse
* targetUserName
* targetUserId
accounts add 使用者會新增至 Azure Databricks 工作區。 * targetUserName
* endpoint
* targetUserId
accounts addPrincipalToGroup 使用者會新增至工作區層級群組。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts changeDatabricksSqlAcl 使用者的 Databricks SQL 許可權已變更。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeDatabricksWorkspaceAcl 工作區的許可權已變更。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeDbTokenAcl 變更令牌的許可權時。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
accounts changeServicePrincipalAcls 當服務主體的許可權變更時。 * shardName
* targetServicePrincipal
* resourceId
* aclPermissionSet
accounts createGroup 建立工作區層級群組。 * endpoint
* targetGroupId
* targetGroupName
accounts createIpAccessList IP 存取清單會新增至工作區。 * ipAccessListId
* userId
accounts deactivateUser 工作區中已停用使用者。 請參閱 停用工作區中的使用者。 * targetUserName
* endpoint
* targetUserId
accounts delete 使用者會從 Azure Databricks 工作區中刪除。 * targetUserId
* targetUserName
* endpoint
accounts deleteIpAccessList IP 存取清單會從工作區中刪除。 * ipAccessListId
* userId
accounts garbageCollectDbToken 使用者會在過期的令牌上執行垃圾收集命令。 * tokenExpirationTime
* tokenClientId
* userId
* tokenCreationTime
* tokenFirstAccessed
accounts generateDbToken 當有人從使用者 設定 或服務產生令牌時產生令牌時。 * tokenExpirationTime
* tokenCreatedBy
* tokenHash
* userId
accounts IpAccessDenied 用戶嘗試透過拒絕的IP連線到服務。 * path
* userName
accounts ipAccessListQuotaExceeded * userId
accounts jwtLogin 使用者使用 JWT 登入 Databricks。 * user
accounts login 用戶登入工作區。 * user
accounts logout 用戶註銷工作區。 * user
accounts oidcTokenAuthorization 透過一般 OIDC/OAuth 令牌授權 API 呼叫時。 * user
accounts passwordVerifyAuthentication * user
accounts reachMaxQuotaDbToken 當目前未過期的令牌數目超過令牌配額時
accounts removeAdmin 用戶已撤銷工作區管理員許可權。 * targetUserName
* endpoint
* targetUserId
accounts removeGroup 群組會從工作區中移除。 * targetGroupId
* targetGroupName
* endpoint
accounts removePrincipalFromGroup 使用者已從群組中移除。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts revokeDbToken 使用者的令牌會從工作區卸除。 可由從 Databricks 帳戶中移除的使用者觸發。 * userId
accounts setAdmin 用戶獲授與帳戶管理員許可權。 * endpoint
* targetUserName
* targetUserId
accounts tokenLogin 使用者使用令牌登入 Databricks。 * tokenId
* user
accounts updateIpAccessList IP 存取清單已變更。 * ipAccessListId
* userId
accounts updateUser 對用戶帳戶進行變更。 * warehouse
* targetUserName
* targetUserId
accounts validateEmail 當使用者在帳戶建立之後驗證其電子郵件時。 * endpoint
* targetUserName
* targetUserId

叢集事件

以下是 cluster 在工作區層級記錄的事件。

服務 動作 描述 要求參數
clusters changeClusterAcl 用戶變更叢集 ACL。 * shardName
* aclPermissionSet
* targetUserId
* resourceId
clusters create 使用者建立叢集。 * cluster_log_conf
* num_workers
* enable_elastic_disk
* driver_node_type_id
* start_cluster
* docker_image
* ssh_public_keys
* aws_attributes
* acl_path_prefix
* node_type_id
* instance_pool_id
* spark_env_vars
* init_scripts
* spark_version
* cluster_source
* autotermination_minutes
* cluster_name
* autoscale
* custom_tags
* cluster_creator
* enable_local_disk_encryption
* idempotency_token
* spark_conf
* organization_id
* no_driver_daemon
* user_id
* virtual_cluster_size
* apply_policy_default_values
* data_security_mode
clusters createResult 叢集建立的結果。 與搭配 create使用。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters delete 叢集已終止。 * cluster_id
clusters deleteResult 叢集終止的結果。 與搭配 delete使用。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters edit 使用者對叢集設定進行變更。 這會記錄叢集大小或自動調整行為變更以外的所有變更。 * cluster_log_conf
* num_workers
* enable_elastic_disk
* driver_node_type_id
* start_cluster
* docker_image
* ssh_public_keys
* aws_attributes
* acl_path_prefix
* node_type_id
* instance_pool_id
* spark_env_vars
* init_scripts
* spark_version
* cluster_source
* autotermination_minutes
* cluster_name
* autoscale
* custom_tags
* cluster_creator
* enable_local_disk_encryption
* idempotency_token
* spark_conf
* organization_id
* no_driver_daemon
* user_id
* virtual_cluster_size
* apply_policy_default_values
* data_security_mode
clusters permanentDelete 叢集會從UI中刪除。 * cluster_id
clusters resize 叢集重設大小。 這會記錄在執行中的叢集,其中唯一變更的屬性是叢集大小或自動調整行為。 * cluster_id
* num_workers
* autoscale
clusters resizeResult 叢集重設大小的結果。 與搭配 resize使用。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters restart 使用者重新啟動執行中的叢集。 * cluster_id
clusters restartResult 叢集重新啟動的結果。 與搭配 restart使用。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId
clusters start 用戶啟動叢集。 * init_scripts_safe_mode
* cluster_id
clusters startResult 叢集啟動的結果。 與搭配 start使用。 * clusterName
* clusterState
* clusterId
* clusterWorkers
* clusterOwnerUserId

叢集連結庫事件

以下是 clusterLibraries 在工作區層級記錄的事件。

服務 動作 描述 要求參數
clusterLibraries installLibraries 使用者會在叢集上安裝連結庫。 * cluster_id
* libraries
clusterLibraries uninstallLibraries 使用者卸載叢集上的連結庫。 * cluster_id
* libraries
clusterLibraries installLibraryOnAllClusters 工作區管理員會排程連結庫以安裝在所有叢集上。 * user
* library
clusterLibraries uninstallLibraryOnAllClusters 工作區系統管理員會從清單中移除連結庫,以在所有叢集上安裝。 * user
* library

叢集原則事件

以下是 clusterPolicies 在工作區層級記錄的事件。

服務 動作 描述 要求參數
clusterPolicies create 使用者已建立叢集原則。 * name
clusterPolicies edit 用戶編輯叢集原則。 * policy_id
* name
clusterPolicies delete 用戶已刪除叢集原則。 * policy_id
clusterPolicies changeClusterPolicyAcl 工作區管理員會變更叢集原則的許可權。 * shardName
* targetUserId
* resourceId
* aclPermissionSet

儀錶板事件

以下是 dashboards 在工作區層級記錄的事件。

服務 動作 描述 要求參數
dashboards createDashboard 使用者會使用UI或 API 建立新的 Lakeview 儀錶板。 * dashboard_id
dashboards updateDashboard 使用者會使用UI或 API 更新 Lakeview 儀錶板。 * dashboard_id
dashboards cloneDashboard 用戶複製 Lakeview 儀錶板。 * source_dashboard_id
* new_dashboard_id
dashboards publishDashboard 使用者會使用UI或 API 來發佈具有或不含內嵌認證的 Lakeview 儀錶板。 * dashboard_id
* credentials_embedded
* warehouse_id
dashboards unpublishDashboard 使用者會使用 UI 或 API 解除發布已發佈的 Lakeview 儀錶板。 * dashboard_id
dashboards trashDashboard 使用者使用 UI 或 API 將 Lakeview 儀錶板移至垃圾桶。 * dashboard_id
dashboards restoreDashboard 使用者從垃圾桶還原 Lakeview 儀錶板。 * dashboard_id
dashboards migrateDashboard 用戶會將 DBSQL 儀錶板移轉至 Lakeview 儀錶板。 * source_dashboard_id
* new_dashboard_id
dashboards createSchedule 使用者會建立電子郵件訂閱排程。 * dashboard_id
* schedule_id
dashboards updateSchedule 使用者會更新 Lakeview 儀錶板的排程。 * dashboard_id
* schedule_id
dashboards deleteSchedule 用戶刪除 Lakeview 儀錶板的排程。 * dashboard_id
* schedule_id
dashboards createSubscription 使用者訂閱 Lakeview 儀錶板排程的電子郵件目的地。 * dashboard_id
* schedule_id
* schedule
dashboards deleteSubscription 使用者會從 Lakeview 儀錶板排程中刪除電子郵件目的地。 * dashboard_id
* schedule_id

Databricks SQL 事件

以下是 databrickssql 在工作區層級記錄的事件。

注意

如果您使用舊版 SQL 端點 API 管理 SQL 倉儲,您的 SQL 倉儲稽核事件將會有不同的動作名稱。 請參閱 SQL 端點記錄

服務 動作 描述 要求參數
databrickssql addDashboardWidget 小工具會新增至儀錶板。 * dashboardId
* widgetId
databrickssql cancelQueryExecution 查詢執行會從 SQL 編輯器 UI 取消。 這不包括源自查詢歷程記錄 UI 或 Databricks SQL 執行 API 的取消。 * queryExecutionId
databrickssql changeWarehouseAcls 倉儲管理員會更新 SQL 倉儲的許可權。 * aclPermissionSet
* resourceId
* shardName
* targetUserId
databrickssql changePermissions 使用者會更新物件的許可權。 * granteeAndPermission
* objectId
* objectType
databrickssql cloneDashboard 用戶複製儀錶板。 * dashboardId
databrickssql commandSubmit 僅在詳細資訊稽核記錄中。 不論要求的來源為何,當命令提交至 SQL 倉儲時產生。 * warehouseId
* commandId
* validation
* commandText
databrickssql commandFinish 僅在詳細資訊稽核記錄中。 當 SQL 倉儲上的命令完成或取消時產生,而不論取消要求的來源為何。 * warehouseId
* commandId
databrickssql createAlert 使用者建立警示。 * alertId
databrickssql createNotificationDestination 工作區管理員會建立通知目的地。 * notificationDestinationId
* notificationDestinationType
databrickssql createDashboard 使用者建立儀錶板。 * dashboardId
databrickssql createDataPreviewDashboard 使用者建立數據預覽儀錶板。 * dashboardId
databrickssql createWarehouse 具有叢集建立權利的使用者會建立 SQL 倉儲。 * auto_resume
* auto_stop_mins
* channel
* cluster_size
* conf_pairs
* custom_cluster_confs
* enable_databricks_compute
* enable_photon
* enable_serverless_compute
* instance_profile_arn
* max_num_clusters
* min_num_clusters
* name
* size
* spot_instance_policy
* tags
* test_overrides
databrickssql createQuery 用戶藉由儲存查詢草稿來建立查詢。 * queryId
databrickssql createQueryDraft 使用者建立查詢草稿。 * queryId
databrickssql createQuerySnippet 使用者會建立查詢代碼段。 * querySnippetId
databrickssql createSampleDashboard 使用者會建立範例儀錶板。 * sampleDashboardId
databrickssql createVisualization 使用者使用 SQL 編輯器產生視覺效果。 排除使用 SQL 倉儲之筆記本中的預設結果數據表和視覺效果。 * queryId
* visualizationId
databrickssql deleteAlert 使用者會從警示介面或透過 API 刪除警示。 從檔案瀏覽器 UI 排除刪除。 * alertId
databrickssql deleteNotificationDestination 工作區管理員會刪除通知目的地。 * notificationDestinationId
databrickssql deleteDashboard 用戶會從儀錶板介面或透過 API 刪除儀錶板。 排除透過檔案瀏覽器 UI 刪除。 * dashboardId
databrickssql deleteDashboardWidget 使用者刪除儀錶板小工具。 * widgetId
databrickssql deleteWarehouse 倉儲管理員會刪除 SQL 倉儲。 * id
databrickssql deleteQuery 用戶會從查詢介面或透過 API 刪除查詢。 排除透過檔案瀏覽器 UI 刪除。 * queryId
databrickssql deleteQueryDraft 使用者刪除查詢草稿。 * queryId
databrickssql deleteQuerySnippet 使用者刪除查詢代碼段。 * querySnippetId
databrickssql deleteVisualization 使用者會從 SQL 編輯器中的查詢中刪除視覺效果。 * visualizationId
databrickssql downloadQueryResult 使用者會從 SQL 編輯器下載查詢結果。 從儀錶板排除下載。 * fileType
* queryId
* queryResultId
databrickssql editWarehouse 倉儲管理員會編輯 SQL 倉儲。 * auto_stop_mins
* channel
* cluster_size
* confs
* enable_photon
* enable_serverless_compute
* id
* instance_profile_arn
* max_num_clusters
* min_num_clusters
* name
* spot_instance_policy
* tags
databrickssql executeAdhocQuery 由下列其中一項產生:

* 使用者在 SQL 編輯器中執行查詢草稿
* 查詢是從視覺效果匯總執行
* 使用者載入儀錶板並執行基礎查詢		 * dataSourceId
databrickssql executeSavedQuery 用戶會執行已儲存的查詢。 * queryId
databrickssql executeWidgetQuery 由執行查詢的任何事件產生,讓儀錶板面板重新整理。 適用事件的一些範例包括:

* 重新整理單一面板
* 重新整理整個儀錶板
* 排程的儀錶板執行
* 超過 64,000 個數據列的參數或篩選變更		 * widgetId
databrickssql favoriteDashboard 使用者最愛儀錶板。 * dashboardId
databrickssql favoriteQuery 使用者最愛查詢。 * queryId
databrickssql forkQuery 用戶複製查詢。 * originalQueryId
* queryId
databrickssql listQueries 使用者開啟查詢清單頁面,或呼叫清單查詢 API。 * filter_by
* include_metrics
* max_results
* page_token
databrickssql moveDashboardToTrash 用戶將儀錶板移至垃圾桶。 * dashboardId
databrickssql moveQueryToTrash 用戶將查詢移至垃圾桶。 * queryId
databrickssql muteAlert 使用者透過 API 將警示設為靜音。 * alertId
databrickssql restoreDashboard 使用者從垃圾箱還原儀錶板。 * dashboardId
databrickssql restoreQuery 使用者從垃圾桶還原查詢。 * queryId
databrickssql setWarehouseConfig 倉儲管理員會設定 SQL 倉儲的組態。 * data_access_config
* enable_serverless_compute
* instance_profile_arn
* security_policy
* serverless_agreement
* sql_configuration_parameters
* try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard 使用者要求儀錶板的快照集。 包含排程的儀錶板快照集。 * dashboardId
databrickssql startWarehouse SQL 倉儲已啟動。 * id
databrickssql stopWarehouse 倉儲管理員會停止 SQL 倉儲。 排除自動封頂的倉儲。 * id
databrickssql transferObjectOwnership 工作區系統管理員會將儀錶板、查詢或警示的擁有權轉移給作用中使用者。 * newOwner
* objectId
* objectType
databrickssql unfavoriteDashboard 使用者從其我的最愛中移除儀錶板。 * dashboardId
databrickssql unfavoriteQuery 使用者從其我的最愛中移除查詢。 * queryId
databrickssql unmuteAlert 使用者透過 API 取消變更警示 * alertId.
databrickssql updateAlert 使用者對警示進行更新。 * alertId
* queryId
databrickssql updateNotificationDestination 工作區管理員會更新通知目的地。 * notificationDestinationId
databrickssql updateDashboardWidget 用戶對儀錶板小工具進行更新。 排除軸刻度變更。 適用的更新範例包括:

* 變更為小工具大小或位置
* 新增或移除小工具參數		 * widgetId
databrickssql updateDashboard 用戶對儀錶板屬性進行更新。 排除排程和訂用帳戶的變更。 適用的更新範例包括:

* 在儀錶板名稱中變更
* 變更為 SQL 倉儲
* 變更為 執行身分 設定		 * dashboardId
databrickssql updateOrganizationSetting 工作區管理員會更新工作區的 SQL 設定。 * has_configured_data_access
* has_explored_sql_warehouses
* has_granted_permissions
databrickssql updateQuery 使用者對查詢進行更新。 * queryId
databrickssql updateQueryDraft 使用者對查詢草稿進行更新。 * queryId
databrickssql updateQuerySnippet 使用者對查詢代碼段進行更新。 * querySnippetId
databrickssql updateVisualization 使用者會從 SQL 編輯器或儀錶板更新視覺效果。 * visualizationId

DBFS 事件

下表包含 dbfs 記錄在工作區層級的事件。

DBFS 事件有兩種類型:API 呼叫和操作事件。

DBFS API 事件

只有在透過 DBFS REST API 寫入時,才會記錄下列 DBFS 稽核事件。

服務 動作 描述 要求參數
dbfs addBlock 用戶會將數據區塊附加至數據流。 這會與 dbfs/create 搭配使用,將數據串流至 DBFS。 * handle
* data_length
dbfs create 用戶開啟數據流以將檔案寫入 DBF。 * path
* bufferSize
* overwrite
dbfs delete 使用者從 DBF 刪除檔案或目錄。 * recursive
* path
dbfs mkdirs 使用者會建立新的 DBFS 目錄。 * path
dbfs move 用戶將檔案從一個位置移至 DBF 內的另一個位置。 * dst
* source_path
* src
* destination_path
dbfs put 用戶透過使用多部分窗體張貼至 DBF 來上傳檔案。 * path
* overwrite

DBFS 作業事件

下列 DBFS 稽核事件發生在計算平面上。

服務 動作 描述 要求參數
dbfs mount 使用者會在特定 DBFS 位置建立裝入點。 * mountPoint
* owner
dbfs unmount 用戶移除特定 DBFS 位置的裝入點。 * mountPoint

差異管線事件

服務 動作 描述 要求參數
deltaPipelines changePipelineAcls 用戶變更管線的許可權。 * shardId
* targetUserId
* resourceId
* aclPermissionSet
deltaPipelines create 使用者會建立 Delta Live Tables 管線。 * allow_duplicate_names
* clusters
* configuration
* continuous
* development
* dry_run
* id
* libraries
* name
* storage
* target
* channel
* edition
* photon
deltaPipelines delete 用戶刪除 Delta Live Tables 管線。 * pipeline_id
deltaPipelines edit 用戶編輯 Delta Live Tables 管線。 * allow_duplicate_names
* clusters
* configuration
* continuous
* development
* expected_last_modified
* id
* libraries
* name
* pipeline_id
* storage
* target
* channel
* edition
* photon
deltaPipelines startUpdate 使用者重新啟動 Delta Live Tables 管線。 * cause
* full_refresh
* job_task
* pipeline_id
deltaPipelines stop 使用者停止 Delta Live Tables 管線。 * pipeline_id

功能存放區事件

featureStore下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
featureStore addConsumer 取用者會新增至功能存放區。 * features
* job_run
* notebook
featureStore addDataSources 數據源會新增至功能數據表。 * feature_table
* paths, tables
featureStore addProducer 產生者會新增至功能數據表。 * feature_table
* job_run
* notebook
featureStore changeFeatureTableAcl 功能數據表中的許可權已變更。 * aclPermissionSet
* resourceId
* shardName
* targetUserId
featureStore createFeatureTable 功能數據表已建立。 * description
* name
* partition_keys
* primary_keys
* timestamp_keys
featureStore createFeatures 功能會在功能數據表中建立。 * feature_table
* features
featureStore deleteFeatureTable 功能數據表已刪除。 * name
featureStore deleteTags 標籤會從功能數據表中刪除。 * feature_table_id
* keys
featureStore getConsumers 用戶呼叫 來取得功能數據表中的取用者。 * feature_table
featureStore getFeatureTable 用戶呼叫 以取得功能數據表。 * name
featureStore getFeatureTablesById 用戶呼叫 以取得功能數據表標識碼。 * ids
featureStore getFeatures 用戶撥打電話以取得功能。 * feature_table
* max_results
featureStore getModelServingMetadata 用戶呼叫 以取得模型服務元數據。 * feature_table_features
featureStore getOnlineStore 用戶撥打電話以取得在線商店詳細數據。 * cloud
* feature_table
* online_table
* store_type
featureStore getTags 用戶呼叫 以取得功能數據表的標籤。 * feature_table_id
featureStore publishFeatureTable 功能數據表已發行。 * cloud
* feature_table
* host
* online_table
* port
* read_secret_prefix
* store_type
* write_secret_prefix
featureStore searchFeatureTables 用戶搜尋功能數據表。 * max_results
* page_token
* text
featureStore setTags 標籤會新增至功能數據表。 * feature_table_id
* tags
featureStore updateFeatureTable 功能數據表已更新。 * description
* name

檔案 API 事件

filesystem下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
filesystem filesGet 用戶下載檔案。 * path
* transferredSize
filesystem filesPut 用戶上傳檔案。 * path
* receivedSize
filesystem filesDelete 使用者刪除檔案。 * path
filesystem filesHead 使用者取得檔案的相關信息。 * path

Genie 事件

genie下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
genie databricksAccess Databricks 人員有權存取客戶環境。 * duration
* approver
* reason
* authType
* user

Git 認證事件

gitCredentials下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
gitCredentials getGitCredential 使用者取得 Git 認證。 * id
gitCredentials listGitCredentials 用戶列出所有 Git 認證 none
gitCredentials deleteGitCredential 使用者刪除 Git 認證。 * id
gitCredentials updateGitCredential 使用者更新 Git 認證。 * id
* git_provider
* git_username
gitCredentials createGitCredential 使用者建立 Git 認證。 * git_provider
* git_username

全域 init 腳本事件

globalInitScripts下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
globalInitScripts create 工作區管理員會建立全域初始化腳本。 * name
* position
* script-SHA256
* enabled
globalInitScripts update 工作區管理員會更新全域初始化腳本。 * script_id
* name
* position
* script-SHA256
* enabled
globalInitScripts delete 工作區管理員會刪除全域初始化腳本。 * script_id

群組事件

groups下列事件會記錄在工作區層級。 這些動作與舊版 ACL 群組相關。 如需帳戶和工作區層級群組的相關動作,請參閱 帳戶事件帳戶層級帳戶事件

服務 動作 描述 要求參數
groups addPrincipalToGroup 系統管理員會將使用者新增至群組。 * user_name
* parent_name
groups createGroup 系統管理員會建立群組。 * group_name
groups getGroupMembers 系統管理員檢視群組成員。 * group_name
groups getGroups 系統管理員檢視群組清單 none
groups getInheritedGroups 系統管理員檢視繼承的群組 none
groups removeGroup 系統管理員移除群組。 * group_name

擷取事件

ingestion下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
ingestion proxyFileUpload 用戶將檔案上傳至其 Azure Databricks 工作區。 * x-databricks-content-length-0
* x-databricks-total-files

實例集區事件

instancePools下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
instancePools changeInstancePoolAcl 用戶變更實例集區的許可權。 * shardName
* resourceId
* targetUserId
* aclPermissionSet
instancePools create 使用者建立實例集區。 * enable_elastic_disk
* preloaded_spark_versions
* idle_instance_autotermination_minutes
* instance_pool_name
* node_type_id
* custom_tags
* max_capacity
* min_idle_instances
* aws_attributes
instancePools delete 使用者刪除實例集區。 * instance_pool_id
instancePools edit 用戶編輯實例集區。 * instance_pool_name
* idle_instance_autotermination_minutes
* min_idle_instances
* preloaded_spark_versions
* max_capacity
* enable_elastic_disk
* node_type_id
* instance_pool_id
* aws_attributes

作業事件

jobs下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
jobs cancel 作業執行已取消。 * run_id
jobs cancelAllRuns 使用者取消作業上的所有執行。 * job_id
jobs changeJobAcl 使用者更新作業的許可權。 * shardName
* aclPermissionSet
* resourceId
* targetUserId
jobs create 使用者建立作業。 * spark_jar_task
* email_notifications
* notebook_task
* spark_submit_task
* timeout_seconds
* libraries
* name
* spark_python_task
* job_type
* new_cluster
* existing_cluster_id
* max_retries
* schedule
* run_as
jobs delete 使用者刪除作業。 * job_id
jobs deleteRun 使用者刪除作業執行。 * run_id
jobs getRunOutput 用戶進行 API 呼叫以取得執行輸出。 * run_id
* is_from_webapp
jobs repairRun 用戶修復作業執行。 * run_id
* latest_repair_id
* rerun_tasks
jobs reset 重設作業。 * job_id
* new_settings
jobs resetJobAcl 使用者要求變更作業的許可權。 * grants
* job_id
jobs runCommand 啟用詳細資訊稽核記錄時可用。 在筆記本中的命令由作業執行執行之後發出。 命令會對應至筆記本中的儲存格。 * jobId
* runId
* notebookId
* executionTime
* status
* commandId
* commandText
jobs runFailed 作業執行失敗。 * jobClusterType
* jobTriggerType
* jobId
* jobTaskType
* runId
* jobTerminalState
* idInJob
* orgId
* runCreatorUserName
jobs runNow 用戶會觸發隨選作業執行。 * notebook_params
* job_id
* jar_params
* workflow_context
jobs runStart 當作業執行在驗證和叢集建立之後啟動時發出。 從這個事件發出的要求參數取決於作業中的工作類型。 除了列出的參數之外,還可以包括:

* dashboardId (適用於 SQL 儀錶板工作)
* filePath (適用於 SQL 檔案工作)
* notebookPath ( 適用於筆記本工作 )
* mainClassName (適用於 Spark JAR 工作)
* pythonFile (適用於 Spark JAR 工作)
* projectDirectory (適用於 dbt 工作)
* commands (適用於 dbt 工作)
* packageName (適用於 Python 滾輪工作)
* entryPoint (適用於 Python 滾輪工作)
* pipelineId ( 適用於管線工作 )
* queryIds (適用於 SQL 查詢工作)
* alertId (適用於 SQL 警示工作)		 * taskDependencies
* multitaskParentRunId
* orgId
* idInJob
* jobId
* jobTerminalState
* taskKey
* jobTriggerType
* jobTaskType
* runId
* runCreatorUserName
jobs runSucceeded 作業執行成功。 * idInJob
* jobId
* jobTriggerType
* orgId
* runId
* jobClusterType
* jobTaskType
* jobTerminalState
* runCreatorUserName
jobs runTriggered 作業排程會根據其排程或觸發程式自動觸發。 * jobId
* jobTriggeredType
* runId
jobs sendRunWebhook 當作業開始、完成或失敗時,就會傳送 Webhook。 * orgId
* jobId
* jobWebhookId
* jobWebhookEvent
* runId
jobs setTaskValue 用戶設定工作的值。 * run_id
* key
jobs submitRun 使用者透過 API 提交一次性執行。 * shell_command_task
* run_name
* spark_python_task
* existing_cluster_id
* notebook_task
* timeout_seconds
* libraries
* new_cluster
* spark_jar_task
jobs update 用戶編輯作業的設定。 * job_id
* fields_to_remove
* new_settings
* is_from_dlt

Marketplace 取用者事件

marketplaceConsumer下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
marketplaceConsumer getDataProduct 用戶可透過 Databricks Marketplace 存取數據產品。 * listing_id
* listing_name
* share_name
* catalog_name
* request_context:取得數據產品存取權之帳戶和中繼存放區的相關信息陣列
marketplaceConsumer requestDataProduct 使用者要求存取需要提供者核准的數據產品。 * listing_id
* listing_name
* catalog_name
* request_context:要求存取數據產品之帳戶和中繼存放區的相關信息陣列

Marketplace 提供者事件

marketplaceProvider下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
marketplaceProvider createListing 中繼存放區系統管理員會在其提供者配置檔中建立清單。 * listing:清單詳細數據的陣列
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider updateListing 中繼存放區管理員會更新其提供者配置檔中的清單。 * id
* listing:清單詳細數據的陣列
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider deleteListing 中繼存放區系統管理員會刪除其提供者配置檔中的清單。 * id
* request_context:提供者帳戶和中繼存放區的詳細數據陣列
marketplaceProvider updateConsumerRequestStatus 中繼存放區系統管理員會核准或拒絕數據產品要求。 * listing_id
* request_id
* status
* reason
* share:共用相關信息的陣列
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider createProviderProfile 中繼存放區管理員會建立提供者配置檔。 * provider:提供者相關信息的陣列
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider updateProviderProfile 中繼存放區管理員會更新其提供者配置檔。 * id
* provider:提供者相關信息的陣列
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider deleteProviderProfile 中繼存放區系統管理員會刪除其提供者配置檔。 * id
* request_context:提供者帳戶和中繼存放區的相關信息陣列
marketplaceProvider uploadFile 提供者會將檔案上傳至其提供者配置檔。 * request_context:提供者帳戶和中繼存放區的相關信息陣列
* marketplace_file_type
* display_name
* mime_type
* file_parent:檔案父詳細數據的陣列
marketplaceProvider deleteFile 提供者會從其提供者配置檔中刪除檔案。 * file_id
* request_context:提供者帳戶和中繼存放區的相關信息陣列

具有 ACL 事件的 MLflow 成品

mlflowAcledArtifact下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
mlflowAcledArtifact readArtifact 用戶呼叫以讀取成品。 * artifactLocation
* experimentId
* runId
mlflowAcledArtifact writeArtifact 用戶呼叫 以寫入成品。 * artifactLocation
* experimentId
* runId

MLflow 實驗事件

mlflowExperiment下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
mlflowExperiment createMlflowExperiment 使用者建立 MLflow 實驗。 * experimentId
* path
* experimentName
mlflowExperiment deleteMlflowExperiment 用戶刪除 MLflow 實驗。 * experimentId
* path
* experimentName
mlflowExperiment moveMlflowExperiment 用戶移動 MLflow 實驗。 * newPath
* experimentId
* oldPath
mlflowExperiment restoreMlflowExperiment 用戶會還原 MLflow 實驗。 * experimentId
* path
* experimentName
mlflowExperiment renameMlflowExperiment 使用者重新命名 MLflow 實驗。 * oldName
* newName
* experimentId
* parentPath

MLflow 模型登錄事件

mlflowModelRegistry下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
modelRegistry approveTransitionRequest 使用者核准模型版本階段轉換要求。 * name
* version
* stage
* archive_existing_versions
modelRegistry changeRegisteredModelAcl 使用者會更新已註冊模型的許可權。 * registeredModelId
* userId
modelRegistry createComment 使用者會在模型版本上張貼批注。 * name
* version
modelRegistry createModelVersion 使用者建立模型版本。 * name
* source
* run_id
* tags
* run_link
modelRegistry createRegisteredModel 使用者建立新的已註冊模型 * name
* tags
modelRegistry createRegistryWebhook 使用者會建立模型登錄事件的 Webhook。 * orgId
* registeredModelId
* events
* description
* status
* creatorId
* httpUrlSpec
modelRegistry createTransitionRequest 使用者建立模型版本階段轉換要求。 * name
* version
* stage
modelRegistry deleteComment 用戶刪除模型版本的批註。 * id
modelRegistry deleteModelVersion 用戶刪除模型版本。 * name
* version
modelRegistry deleteModelVersionTag 用戶刪除模型版本標籤。 * name
* version
* key
modelRegistry deleteRegisteredModel 用戶刪除已註冊的模型 * name
modelRegistry deleteRegisteredModelTag 用戶刪除已註冊模型的標記。 * name
* key
modelRegistry deleteRegistryWebhook 用戶刪除模型登錄 Webhook。 * orgId
* webhookId
modelRegistry deleteTransitionRequest 使用者取消模型版本階段轉換要求。 * name
* version
* stage
* creator
modelRegistry finishCreateModelVersionAsync 已完成異步模型複製。 * name
* version
modelRegistry generateBatchInferenceNotebook 批次推斷筆記本會自動產生。 * userId
* orgId
* modelName
* inputTableOpt
* outputTablePathOpt
* stageOrVersion
* modelVersionEntityOpt
* notebookPath
modelRegistry generateDltInferenceNotebook Delta Live Tables 管線的推斷筆記本會自動產生。 * userId
* orgId
* modelName
* inputTable
* outputTable
* stageOrVersion
* notebookPath
modelRegistry getModelVersionDownloadUri 使用者取得 URI 以下載模型版本。 * name
* version
modelRegistry getModelVersionSignedDownloadUri 使用者取得 URI 以下載已簽署的模型版本。 * name
* version
* path
modelRegistry listModelArtifacts 用戶呼叫以列出模型的成品。 * name
* version
* path
* page_token
modelRegistry listRegistryWebhooks 用戶呼叫 以列出模型中的所有登錄 Webhook。 * orgId
* registeredModelId
modelRegistry rejectTransitionRequest 使用者拒絕模型版本階段轉換要求。 * name
* version
* stage
modelRegistry renameRegisteredModel 使用者重新命名已註冊的模型 * name
* new_name
modelRegistry setEmailSubscriptionStatus 使用者更新已註冊模型的電子郵件訂閱狀態
modelRegistry setModelVersionTag 用戶設定模型版本標記。 * name
* version
* key
* value
modelRegistry setRegisteredModelTag 用戶設定模型版本標記。 * name
* key
* value
modelRegistry setUserLevelEmailSubscriptionStatus 使用者會更新整個登錄的電子郵件通知狀態。 * orgId
* userId
* subscriptionStatus
modelRegistry testRegistryWebhook 用戶測試模型登錄 Webhook。 * orgId
* webhookId
modelRegistry transitionModelVersionStage 使用者會取得模型版本所有開啟階段轉換要求的清單。 * name
* version
* stage
* archive_existing_versions
modelRegistry triggerRegistryWebhook 模型登錄 Webhook 是由事件觸發。 * orgId
* registeredModelId
* events
* status
modelRegistry updateComment 用戶將編輯張貼至模型版本的批注。 * id
modelRegistry updateRegistryWebhook 使用者更新模型登錄 Webhook。 * orgId
* webhookId

模型服務事件

serverlessRealTimeInference下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
serverlessRealTimeInference changeInferenceEndpointAcl 使用者會更新推斷端點的許可權。 * shardName
* targetUserId
* resourceId
* aclPermissionSet
serverlessRealTimeInference createServingEndpoint 使用者會建立服務端點的模型。 * name
* config
serverlessRealTimeInference deleteServingEndpoint 使用者刪除服務端點的模型。 * name
serverlessRealTimeInference disable 用戶停用已註冊模型的模型服務。 * registered_mode_name
serverlessRealTimeInference enable 使用者為已註冊的模型啟用模型服務。 * registered_mode_name
serverlessRealTimeInference getQuerySchemaPreview 使用者呼叫 以取得查詢架構預覽。 * endpoint_name
serverlessRealTimeInference updateServingEndpoint 使用者更新服務端點的模型。 * name
* served_models
* traffic_config

筆記本事件

notebook下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
notebook attachNotebook 筆記本會連結至叢集。 * path
* clusterId
* notebookId
notebook cloneNotebook 用戶複製筆記本。 * notebookId
* path
* clonedNotebookId
* destinationPath
notebook createNotebook 系統會建立筆記本。 * notebookId
* path
notebook deleteFolder 筆記本資料夾已刪除。 * path
notebook deleteNotebook 筆記本已刪除。 * notebookId
* notebookName
* path
notebook detachNotebook 筆記本與叢集中斷連結。 * notebookId
* clusterId
* path
notebook downloadLargeResults 用戶下載查詢結果太大而無法顯示在筆記本中。 * notebookId
* notebookFullPath
notebook downloadPreviewResults 用戶下載查詢結果。 * notebookId
* notebookFullPath
notebook importNotebook 用戶匯入筆記本。 * path
notebook moveFolder 筆記本資料夾會從一個位置移至另一個位置。 * oldPath
* newPath
* folderId
notebook moveNotebook 筆記本會從一個位置移至另一個位置。 * newPath
* oldPath
* notebookId
notebook renameNotebook 筆記本已重新命名。 * newName
* oldName
* parentPath
* notebookId
notebook restoreFolder 已刪除的資料夾已還原。 * path
notebook restoreNotebook 已刪除的筆記本已還原。 * path
* notebookId
* notebookName
notebook runCommand 啟用詳細資訊稽核記錄時可用。 在 Databricks 在筆記本中執行命令之後發出。 命令會對應至筆記本中的儲存格。

executionTime 以秒為單位。		 * notebookId
* executionTime
* status
* commandId
* commandText
* commandLanguage
notebook takeNotebookSnapshot 執行作業服務或 mlflow 時,會擷取筆記本快照集。 * path

合作夥伴 連線 事件

partnerHub下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
partnerHub createOrReusePartnerConnection 工作區管理員會設定與合作夥伴解決方案的連線。 * partner_name
partnerHub deletePartnerConnection 工作區系統管理員會刪除合作夥伴連線。 * partner_name
partnerHub downloadPartnerConnectionFile 工作區系統管理員會下載合作夥伴連線檔案。 * partner_name
partnerHub setupResourcesForPartnerConnection 工作區管理員會設定合作夥伴連線的資源。 * partner_name

遠程歷程記錄服務事件

remoteHistoryService下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
remoteHistoryService addUserGitHubCredentials 使用者新增 Github 認證 none
remoteHistoryService deleteUserGitHubCredentials 用戶移除 Github 認證 none
remoteHistoryService updateUserGitHubCredentials 使用者更新 Github 認證 none

Git 資料夾事件

repos下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
repos checkoutBranch 用戶取出存放庫上的分支。 * id
* branch
repos commitAndPush 用戶認可並推送至存放庫。 * id
* message
* files
* checkSensitiveToken
repos createRepo 使用者在工作區中建立存放庫 * url
* provider
* path
repos deleteRepo 使用者刪除存放庫。 * id
repos discard 用戶捨棄對存放庫的認可。 * id
* file_paths
repos getRepo 用戶撥打電話以取得單一存放庫的相關信息。 * id
repos listRepos 使用者撥打電話以取得他們擁有 [管理] 許可權的所有存放庫。 * path_prefix
* next_page_token
repos pull 使用者會從存放庫提取最新的認可。 * id
repos updateRepo 使用者會將存放庫更新為不同的分支或標記,或更新至相同分支上的最新認可。 * id
* branch
* tag
* git_url
* git_provider

秘密事件

secrets下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
secrets createScope 使用者會建立秘密範圍。 * scope
* initial_manage_principal
* scope_backend_type
secrets deleteAcl 使用者刪除秘密範圍的 ACL。 * scope
* principal
secrets deleteScope 使用者刪除秘密範圍。 * scope
secrets deleteSecret 用戶從範圍中刪除秘密。 * key
* scope
secrets getAcl 使用者取得秘密範圍的 ACL。 * scope
* principal
secrets getSecret 使用者從範圍取得秘密。 * key
* scope
secrets listAcls 用戶呼叫來列出秘密範圍的 ACL。 * scope
secrets listScopes 用戶呼叫列出秘密範圍 none
secrets listSecrets 用戶呼叫來列出範圍內的秘密。 * scope
secrets putAcl 用戶變更秘密範圍的 ACL。 * scope
* principal
* permission
secrets putSecret 使用者會在範圍內新增或編輯秘密。 * string_value
* key
* scope

SQL 資料表存取事件

注意

sqlPermissions 服務包含與舊版Hive中繼存放區數據表訪問控制相關的事件。 Databricks 建議您 將 Hive 中繼存放區所管理的數據表升級至 Unity 目錄中繼存放區

sqlPermissions下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
sqlPermissions changeSecurableOwner 物件的工作區管理員或擁有者會轉移物件擁有權。 * securable
* principal
sqlPermissions createSecurable 使用者會建立安全性實體物件。 * securable
sqlPermissions denyPermission 對象擁有者拒絕安全性實體對象的許可權。 * permission
sqlPermissions grantPermission 對象擁有者會授與安全性實體對象的許可權。 * permission
sqlPermissions removeAllPermissions 使用者卸除安全性實體物件。 * securable
sqlPermissions renameSecurable 使用者重新命名安全性實體物件。 * before
* after
sqlPermissions requestPermissions 使用者要求安全性實體對象的許可權。 * requests
sqlPermissions revokePermission 對象擁有者撤銷其安全性實體對象的許可權。 * permission
sqlPermissions showPermissions 用戶檢視安全性實體物件許可權。 * securable
* principal

SSH 事件

ssh下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
ssh login 將 SSH 登入 Spark 驅動程式的代理程式。 * containerId
* userName
* port
* publicKey
* instanceId
ssh logout 從 Spark 驅動程式註銷 SSH 的代理程式。 * userName
* containerId
* instanceId

向量搜尋事件

vectorSearch下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
vectorSearch createEndpoint 使用者建立向量搜尋端點。 * name
* endpoint_type
vectorSearch deleteEndpoint 使用者刪除向量搜尋端點。 * name
vectorSearch createVectorIndex 使用者會建立向量搜尋索引。 * name
* endpoint_name
* primary_key
* index_type
* delta_sync_index_spec
* direct_access_index_spec
vectorSearch deleteVectorIndex 使用者刪除向量搜尋索引。 * name
* endpoint_name
* delete_embedding_writeback_table

Web 終端機事件

webTerminal下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
webTerminal startSession 用戶會啟動 Web 終端機會話。 * socketGUID
* clusterId
* serverPort
* ProxyTargetURI
webTerminal closeSession 使用者關閉 Web 終端機會話。 * socketGUID
* clusterId
* serverPort
* ProxyTargetURI

工作區事件

workspace下列事件會記錄在工作區層級。

服務 動作名稱 描述 要求參數
workspace changeWorkspaceAcl 工作區的許可權已變更。 * shardName
* targetUserId
* aclPermissionSet
* resourceId
workspace deleteSetting 設定會從工作區中刪除。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
workspace fileCreate 使用者會在工作區中建立檔案。 * path
workspace fileDelete 用戶刪除工作區中的檔案。 * path
workspace fileEditorOpenEvent 用戶開啟檔案編輯器。 * notebookId
* path
workspace getRoleAssignment 使用者取得工作區的使用者角色。 * account_id
* workspace_id
workspace mintOAuthAuthorizationCode 當內部 OAuth 授權碼在工作區層級縮排時記錄。 * client_id
workspace mintOAuthToken OAuth 令牌已針對工作區進行縮排。 * grant_type
* scope
* expires_in
* client_id
workspace moveWorkspaceNode 工作區管理員會移動工作區節點。 * destinationPath
* path
workspace purgeWorkspaceNodes 工作區管理員會清除工作區節點。 * treestoreId
workspace reattachHomeFolder 現有主資料夾會針對重新新增至工作區的使用者重新附加。 * path
workspace renameWorkspaceNode 工作區管理員會重新命名工作區節點。 * path
* destinationPath
workspace unmarkHomeFolder 當使用者從工作區移除時,會移除主資料夾特殊屬性。 * path
workspace updateRoleAssignment 工作區管理員會更新工作區使用者的角色。 * account_id
* workspace_id
* principal_id
workspace setSetting 工作區管理員會設定工作區設定。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
workspace workspaceConfEdit 工作區管理員會更新設定,例如啟用詳細資訊稽核記錄。 * workspaceConfKeys
* workspaceConfValues
workspace workspaceExport 使用者從工作區導出筆記本。 * workspaceExportDirectDownload
* workspaceExportFormat
* notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth 用戶端會在工作區服務中驗證。 * user

計費使用量事件

accountBillableUsage下列事件會記錄在帳戶層級。

服務 動作 描述 要求參數
accountBillableUsage getAggregatedUsage 使用者透過使用量圖表功能存取帳戶的匯總計費使用量(每天使用量)。 * account_id
* window_size
* start_time
* end_time
* meter_name
* workspace_ids_filter
accountBillableUsage getDetailedUsage 使用者透過使用量下載功能存取帳戶的詳細計費使用量(每個叢集的使用方式)。 * account_id
* start_month
* end_month
* with_pii

帳戶層級帳戶事件

accounts下列事件會記錄在帳戶層級。

服務 動作 描述 要求參數
accounts accountInHouseOAuthClientAuthentication OAuth 用戶端已驗證。 * endpoint
accounts accountIpAclsValidationFailed IP 許可權驗證失敗。 傳回 statusCode 403。 * sourceIpAddress
* user:記錄為電子郵件位址
accounts activateUser 停用之後,用戶會重新啟用。 請參閱 停用帳戶中的使用者。 * targetUserName
* endpoint
* targetUserId
accounts add 使用者會新增至 Azure Databricks 帳戶。 * targetUserName
* endpoint
* targetUserId
accounts addPrincipalToGroup 使用者會新增至帳戶層級群組。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts addPrincipalsToGroup 使用者會使用 SCIM 布建新增至帳戶層級群組。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts createGroup 系統會建立帳戶層級群組。 * endpoint
* targetGroupId
* targetGroupName
accounts deactivateUser 使用者已停用。 請參閱 停用帳戶中的使用者。 * targetUserName
* endpoint
* targetUserId
accounts delete 使用者會從 Azure Databricks 帳戶中刪除。 * targetUserId
* targetUserName
* endpoint
accounts deleteSetting 帳戶管理員會從 Azure Databricks 帳戶中移除設定。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
accounts garbageCollectDbToken 使用者會在過期的令牌上執行垃圾收集命令。 * tokenExpirationTime
* tokenClientId
* userId
* tokenCreationTime
* tokenFirstAccessed
accounts generateDbToken 用戶會從使用者 設定 或服務產生令牌時產生令牌。 * tokenExpirationTime
* tokenCreatedBy
* tokenHash
* userId
accounts login 使用者登入帳戶主控台。 * user
accounts logout 用戶註銷帳戶主控台。 * user
accounts oidcBrowserLogin 使用者使用 OpenID 連線 瀏覽器工作流程登入其帳戶。 * user
accounts oidcTokenAuthorization OIDC 令牌已針對帳戶管理員登入進行驗證。 * user
accounts removeAccountAdmin 帳戶管理員會從其他使用者移除帳戶管理員許可權。 * targetUserName
* endpoint
* targetUserId
accounts removeGroup 群組會從帳戶中移除。 * targetGroupId
* targetGroupName
* endpoint
accounts removePrincipalFromGroup 使用者已從帳戶層級群組中移除。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts removePrincipalsFromGroup 使用者會使用 SCIM 布建從帳戶層級群組中移除。 * targetGroupId
* endpoint
* targetUserId
* targetGroupName
* targetUserName
accounts setAccountAdmin 帳戶管理員會將帳戶管理員角色指派給其他使用者。 * targetUserName
* endpoint
* targetUserId
accounts setSetting 帳戶管理員會更新帳戶層級設定。 * settingKeyTypeName
* settingKeyName
* settingTypeName
* settingName
* settingValueForAudit
accounts tokenLogin 使用者使用令牌登入 Databricks。 * tokenId
* user
accounts updateUser 帳戶管理員會更新用戶帳戶。 * targetUserName
* endpoint
* targetUserId
accounts updateGroup 帳戶管理員會更新帳戶層級群組。 * endpoint
* targetGroupId
* targetGroupName
accounts validateEmail 當使用者在帳戶建立之後驗證其電子郵件時。 * endpoint
* targetUserName
* targetUserId

帳戶層級訪問控制事件

accountsAccessControl下列事件會記錄在帳戶層級。

服務 動作 描述 要求參數
accountsAccessControl updateRuleSet 變更規則集時。 * account_id
* name
* rule_set

帳戶管理事件

accountsManager下列事件會記錄在帳戶層級。 這些事件必須與帳戶控制台中的帳戶管理員所做的設定相關聯。

服務 動作 描述 要求參數
accountsManager createNetworkConnectivityConfig 帳戶管理員已建立網路連線設定。 * network_connectivity_config
accountsManager getNetworkConnectivityConfig 帳戶管理員要求有關網路連線設定的詳細數據。 * account_id
* network_connectivity_config_id
accountsManager listNetworkConnectivityConfigs 帳戶管理員會列出帳戶中的所有網路連線設定。 * account_id
accountsManager deleteNetworkConnectivityConfig 帳戶管理員已刪除網路連線設定。 * account_id
* network_connectivity_config_id
accountsManager createNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已建立私人端點規則。 * account_id
* network_connectivity_config_id
* azure_private_endpoint_rule
accountsManager getNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員要求私人端點規則的詳細數據。 * account_id
* network_connectivity_config_id
* rule_id
accountsManager listNetworkConnectivityConfigPrivateEndpointRules 帳戶管理員會列出網路連線設定下的所有私人端點規則。 * account_id
* network_connectivity_config_id
accountsManager deleteNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已刪除私人端點規則。 * account_id
* network_connectivity_config_id
* rule_id
accountsManager updateNetworkConnectivityConfigPrivateEndpointRule 帳戶管理員已更新私人端點規則。 * account_id
* network_connectivity_config_id
* rule_id
* azure_private_endpoint_rule

Unity 目錄事件

下列診斷事件與 Unity 目錄相關。 差異共用事件也會記錄在 unityCatalog 服務底下。 如需差異共用事件,請參閱 差異共用事件。 Unity 目錄稽核事件可以記錄在工作區層級或帳戶層級,視事件而定。

服務 動作 描述 要求參數
unityCatalog createMetastore 帳戶管理員會建立中繼存放區。 * name
* storage_root
* workspace_id
* metastore_id
unityCatalog getMetastore 帳戶管理員要求中繼存放區標識符。 * id
* workspace_id
* metastore_id
unityCatalog getMetastoreSummary 帳戶管理員要求中繼存放區的詳細數據。 * workspace_id
* metastore_id
unityCatalog listMetastores 帳戶管理員要求帳戶中所有中繼存放區的清單。 * workspace_id
unityCatalog updateMetastore 帳戶管理員會更新中繼存放區。 * id
* owner
* workspace_id
* metastore_id
unityCatalog deleteMetastore 帳戶管理員會刪除中繼存放區。 * id
* force
* workspace_id
* metastore_id
unityCatalog updateMetastoreAssignment 帳戶管理員會更新中繼存放區的工作區指派。 * workspace_id
* metastore_id
* default_catalog_name
unityCatalog createExternalLocation 帳戶管理員會建立外部位置。 * name
* skip_validation
* url
* credential_name
* workspace_id
* metastore_id
unityCatalog getExternalLocation 帳戶管理員要求外部位置的詳細數據。 * name_arg
* include_browse
* workspace_id
* metastore_id
unityCatalog listExternalLocations 帳戶管理員要求帳戶中所有外部位置的清單。 * url
* max_results
* workspace_id
* metastore_id
unityCatalog updateExternalLocation 帳戶管理員會更新外部位置。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog deleteExternalLocation 帳戶管理員會刪除外部位置。 * name_arg
* force
* workspace_id
* metastore_id
unityCatalog createCatalog 使用者建立目錄。 * name
* comment
* workspace_id
* metastore_id
unityCatalog deleteCatalog 使用者刪除目錄。 * name_arg
* workspace_id
* metastore_id
unityCatalog getCatalog 使用者要求目錄的詳細數據。 * name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog updateCatalog 使用者更新目錄。 * name_arg
* isolation_mode
* comment
* workspace_id
* metastore_id
unityCatalog listCatalog 用戶呼叫以列出中繼存放區中的所有目錄。 * name_arg
* workspace_id
* metastore_id
unityCatalog createSchema 使用者建立架構。 * name
* catalog_name
* comment
* workspace_id
* metastore_id
unityCatalog deleteSchema 使用者刪除架構。 * full_name_arg
* force
* workspace_id
* metastore_id
unityCatalog getSchema 使用者要求架構的詳細數據。 * full_name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog listSchema 使用者要求目錄中所有架構的清單。 * catalog_name
unityCatalog updateSchema 使用者更新架構。 * full_name_arg
* name
* workspace_id
* metastore_id
* comment
unityCatalog createStagingTable * name
* catalog_name
* schema_name
* workspace_id
* metastore_id
unityCatalog createTable 使用者建立數據表。 要求參數會根據建立的數據表類型而有所不同。 * name
* data_source_format
* catalog_name
* schema_name
* storage_location
* columns
* dry_run
* table_type
* view_dependencies
* view_definition
* sql_path
* comment
unityCatalog deleteTable 使用者刪除數據表。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog getTable 使用者要求數據表的詳細數據。 * include_delta_metadata
* full_name_arg
* dependent
* workspace_id
* metastore_id
unityCatalog privilegedGetTable * full_name_arg
unityCatalog listTables 用戶呼叫 以列出架構中的所有數據表。 * catalog_name
* schema_name
* workspace_id
* metastore_id
* include_browse
unityCatalog listTableSummaries 使用者取得中繼存放區內架構和目錄之數據表的摘要陣列。 * catalog_name
* schema_name_pattern
* workspace_id
* metastore_id
unityCatalog updateTables 用戶對數據表進行更新。 顯示的要求參數會因數據表更新的類型而有所不同。 * full_name_arg
* table_type
* table_constraint_list
* data_source_format
* columns
* dependent
* row_filter
* storage_location
* sql_path
* view_definition
* view_dependencies
* owner
* comment
* workspace_id
* metastore_id
unityCatalog createStorageCredential 帳戶管理員會建立記憶體認證。 您可能會根據雲端提供者認證看到其他要求參數。 * name
* comment
* workspace_id
* metastore_id
unityCatalog listStorageCredentials 帳戶管理員呼叫以列出帳戶中的所有記憶體認證。 * workspace_id
* metastore_id
unityCatalog getStorageCredential 帳戶管理員要求記憶體認證的詳細數據。 * name_arg
* workspace_id
* metastore_id
unityCatalog updateStorageCredential 帳戶管理員會更新記憶體認證。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog deleteStorageCredential 帳戶管理員會刪除記憶體認證。 * name_arg
* workspace_id
* metastore_id
unityCatalog generateTemporaryTableCredential 每當授與數據表的暫存認證時,就會記錄。 您可以使用此事件來判斷誰查詢了哪些和何時。 * credential_id
* credential_type
* is_permissions_enforcing_client
* table_full_name
* operation
* table_id
* workspace_id
* table_url
* metastore_id
unityCatalog generateTemporaryPathCredential 每當授與路徑的暫存認證時,就會記錄。 * url
* operation
* make_path_only_parent
* workspace_id
* metastore_id
unityCatalog getPermissions 使用者呼叫 以取得安全性實體對象的許可權詳細數據。 此呼叫不會傳回繼承的許可權,只會明確指派許可權。 * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog getEffectivePermissions 使用者呼叫 以取得安全性實體物件的所有許可權詳細數據。 有效的許可權呼叫會傳回明確指派和繼承的許可權。 * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog updatePermissions 使用者會更新安全性實體對象的許可權。 * securable_type
* changes
* securable_full_name
* workspace_id
* metastore_id
unityCatalog metadataSnapshot 使用者會從先前的數據表版本查詢元數據。 * securables
* include_delta_metadata
* workspace_id
* metastore_id
unityCatalog metadataAndPermissionsSnapshot 用戶會查詢先前數據表版本的元數據和許可權。 * securables
* include_delta_metadata
* workspace_id
* metastore_id
unityCatalog updateMetadataSnapshot 使用者會從上一個數據表版本更新元數據。 * table_list_snapshots
* schema_list_snapshots
* workspace_id
* metastore_id
unityCatalog getForeignCredentials 用戶撥打電話以取得外鍵的詳細數據。 * securables
* workspace_id
* metastore_id
unityCatalog getInformationSchema 用戶呼叫 以取得架構的詳細數據。 * table_name
* page_token
* required_column_names
* row_set_type
* required_column_names
* workspace_id
* metastore_id
unityCatalog createConstraint 使用者會建立數據表的條件約束。 * full_name_arg
* constraint
* workspace_id
* metastore_id
unityCatalog deleteConstraint 使用者刪除資料表的條件約束。 * full_name_arg
* constraint
* workspace_id
* metastore_id
unityCatalog createPipeline 使用者建立 Unity 目錄管線。 * target_catalog_name
* has_workspace_definition
* id
* workspace_id
* metastore_id
unityCatalog updatePipeline 使用者更新 Unity 目錄管線。 * id_arg
* definition_json
* id
* workspace_id
* metastore_id
unityCatalog getPipeline 使用者要求 Unity 目錄管線的詳細數據。 * id
* workspace_id
* metastore_id
unityCatalog deletePipeline 使用者刪除 Unity 目錄管線。 * id
* workspace_id
* metastore_id
unityCatalog deleteResourceFailure 資源無法刪除 none
unityCatalog createVolume 使用者建立 Unity 目錄磁碟區。 * name
* catalog_name
* schema_name
* volume_type
* storage_location
* owner
* comment
* workspace_id
* metastore_id
unityCatalog getVolume 用戶呼叫 以取得 Unity 目錄磁碟區的相關信息。 * volume_full_name
* workspace_id
* metastore_id
unityCatalog updateVolume 使用者會使用 ALTER VOLUMECOMMENT ON 呼叫來更新 Unity 目錄磁碟區的元數據。 * volume_full_name
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteVolume 使用者刪除 Unity 目錄磁碟區。 * volume_full_name
* workspace_id
* metastore_id
unityCatalog listVolumes 用戶呼叫 以取得架構中所有 Unity 目錄磁碟區的清單。 * catalog_name
* schema_name
* workspace_id
* metastore_id
unityCatalog generateTemporaryVolumeCredential 當使用者在磁碟區上執行讀取或寫入時,會產生暫時認證。 您可以使用此事件來判斷誰存取磁碟區及何時存取。 * volume_id
* volume_full_name
* operation
* volume_storage_location
* credential_id
* credential_type
* workspace_id
* metastore_id
unityCatalog getTagSecurableAssignments 系統會擷取安全性實體的標籤指派 * securable_type
* securable_full_name
* workspace_id
* metastore_id
unityCatalog getTagSubentityAssignments 擷取子對象的標記指派 * securable_type
* securable_full_name
* workspace_id
* metastore_id
* subentity_name
unityCatalog UpdateTagSecurableAssignments 安全性實體的標籤指派已更新 * securable_type
* securable_full_name
* workspace_id
* metastore_id
* changes
unityCatalog UpdateTagSubentityAssignments 子項目標記指派已更新 * securable_type
* securable_full_name
* workspace_id
* metastore_id
* subentity_name
* changes
unityCatalog createRegisteredModel 使用者會建立 Unity 目錄已註冊的模型。 * name
* catalog_name
* schema_name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog getRegisteredModel 用戶呼叫 以取得 Unity 目錄註冊模型的相關信息。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog updateRegisteredModel 使用者更新 Unity 目錄註冊模型的元數據。 * full_name_arg
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteRegisteredModel 用戶刪除 Unity 目錄已註冊的模型。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog listRegisteredModels 使用者呼叫 來取得架構中已註冊的 Unity 目錄模型清單,或跨目錄和架構列出模型。 * catalog_name
* schema_name
* max_results
* page_token
* workspace_id
* metastore_id
unityCatalog createModelVersion 使用者會在 Unity 目錄中建立模型版本。 * catalog_name
* schema_name
* model_name
* source
* comment
* workspace_id
* metastore_id
unityCatalog finalizeModelVersion 使用者在將模型版本檔案上傳至其儲存位置之後,呼叫「完成」Unity 目錄模型版本,使其成為唯讀且可使用的推斷工作流程。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog getModelVersion 用戶撥打電話以取得模型版本的詳細數據。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog getModelVersionByAlias 用戶呼叫 ,以使用 別名取得模型版本的詳細數據。 * full_name_arg
* include_aliases
* alias_arg
* workspace_id
* metastore_id
unityCatalog updateModelVersion 使用者更新模型版本的元數據。 * full_name_arg
* version_arg
* name
* owner
* comment
* workspace_id
* metastore_id
unityCatalog deleteModelVersion 用戶刪除模型版本。 * full_name_arg
* version_arg
* workspace_id
* metastore_id
unityCatalog listModelVersions 用戶呼叫 以取得已註冊模型中的 Unity 目錄模型版本清單。 * catalog_name
* schema_name
* model_name
* max_results
* page_token
* workspace_id
* metastore_id
unityCatalog generateTemporaryModelVersionCredential 當使用者在模型版本上執行寫入時(在初始模型版本建立期間)或讀取(在模型版本完成之後)時,會產生暫時認證。 您可以使用此事件來判斷誰存取模型版本和時機。 * full_name_arg
* version_arg
* operation
* model_version_url
* credential_id
* credential_type
* workspace_id
* metastore_id
unityCatalog setRegisteredModelAlias 使用者會在 Unity 目錄註冊的模型上設定別名。 * full_name_arg
* alias_arg
* version
unityCatalog deleteRegisteredModelAlias 用戶刪除 Unity 目錄已註冊模型的別名。 * full_name_arg
* alias_arg
unityCatalog getModelVersionByAlias 使用者依別名取得 Unity 目錄模型版本。 * full_name_arg
* alias_arg
unityCatalog createConnection 系統會建立新的外部連線。 * name
* connection_type
* workspace_id
* metastore_id
unityCatalog deleteConnection 刪除外部連線。 * name_arg
* workspace_id
* metastore_id
unityCatalog getConnection 擷取外部連線。 * name_arg
* workspace_id
* metastore_id
unityCatalog updateConnection 已更新外部連線。 * name_arg
* owner
* workspace_id
* metastore_id
unityCatalog listConnections 中繼存放區中的外部聯機會列出。 * workspace_id
* metastore_id
unityCatalog createFunction 使用者會建立新的函式。 * function_info
* workspace_id
* metastore_id
unityCatalog updateFunction 使用者更新函式。 * full_name_arg
* owner
* workspace_id
* metastore_id
unityCatalog listFunctions 使用者要求特定父目錄或架構內所有函式的清單。 * catalog_name
* schema_name
* include_browse
* workspace_id
* metastore_id
unityCatalog getFunction 使用者向父目錄或架構要求函式。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog deleteFunction 使用者向父目錄或架構要求函式。 * full_name_arg
* workspace_id
* metastore_id
unityCatalog createShareMarketplaceListingLink * links_infos
* metastore_id
unityCatalog deleteShareMarketplaceListingLink * links_infos
* metastore_id

差異共用事件

差異共用事件分成兩個區段:數據提供者帳戶中記錄的事件,以及數據收件者帳戶中記錄的事件。

差異共用提供者事件

下列稽核記錄事件會記錄在提供者的帳戶中。 收件者所執行的動作會以前置詞開頭 deltaSharing 。 這些記錄也都包含 request_params.metastore_id,這是管理共用數據的中繼存放區,以及 userIdentity.email,這是起始活動之使用者的標識碼。

服務 動作 描述 要求參數
unityCatalog deltaSharingListShares 數據收件者要求共享清單。 * options:這個要求所提供的分頁選項。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingGetShare 數據收件者要求共用的詳細數據。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListSchemas 數據收件者要求共享架構清單。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* options:這個要求所提供的分頁選項。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListAllTables 數據收件者會要求所有共享數據表的清單。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListTables 數據收件者要求共用數據表的清單。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* options:這個要求所提供的分頁選項。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingGetTableMetadata 數據收件者要求數據表元數據的詳細數據。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* schema:架構的名稱。
* name:數據表的名稱。
* predicateHints:查詢中包含的述詞。
* limitHints:要傳回的數據列數目上限。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingGetTableVersion 數據收件者要求數據表版本的詳細數據。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* schema:架構的名稱。
* name:數據表的名稱。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingQueryTable 當數據收件者查詢共享數據表時記錄。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* schema:架構的名稱。
* name:數據表的名稱。
* predicateHints:查詢中包含的述詞。
* limitHints:要傳回的數據列數目上限。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingQueryTableChanges 當數據收件者查詢變更數據表的數據時記錄。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* schema:架構的名稱。
* name:數據表的名稱。
* cdf_options:變更數據摘要選項。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingQueriedTable 在數據收件者取得其查詢的回應之後記錄。 欄位 response.result 包含收件者查詢的詳細資訊(請參閱 稽核和監視資料共用 * recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingQueriedTableChanges 在數據收件者取得其查詢的回應之後記錄。 欄位 response.result 包含收件者查詢的詳細資訊(請參閱 稽核和監視數據共用)。 * recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListNotebookFiles 數據收件者要求共用筆記本檔案的清單。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingQueryNotebookFile 數據收件者會查詢共用筆記本檔案。 * file_name:筆記本檔案的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListFunctions 數據收件者要求父架構中的函式清單。 * share:共用的名稱。
* schema:函式的父架構名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListAllFunctions 數據收件者會要求所有共用函式的清單。 * share:共用的名稱。
* schema:函式的父架構名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListFunctionVersions 數據收件者要求函式版本清單。 * share:共用的名稱。
* schema:函式的父架構名稱。
* function:函式的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListVolumes 數據收件者要求架構中的共用磁碟區清單。 * share:共用的名稱。
* schema:磁碟區的父系架構。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog deltaSharingListAllVolumes 數據收件者會要求所有共用磁碟區。 * share:共用的名稱。
* recipient_name:表示執行動作的收件者。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則,如果要求遭到拒絕,則為 true;如果未拒絕要求,則為 false。 sourceIPaddress 是收件者IP位址。
unityCatalog updateMetastore 提供者會更新其中繼存放區。 * delta_sharing_scope:值可以是 INTERNALINTERNAL_AND_EXTERNAL
* delta_sharing_recipient_token_lifetime_in_seconds:如果存在,表示收件者令牌存留期已更新。
unityCatalog createRecipient 提供者會建立數據收件者。 * name:收件者的名稱。
* comment:收件者的批注。
* ip_access_list.allowed_ip_addresses: 收件者 IP 位址允許清單。
unityCatalog deleteRecipient 提供者會刪除數據收件者。 * name:收件者的名稱。
unityCatalog getRecipient 提供者要求數據收件者的詳細數據。 * name:收件者的名稱。
unityCatalog listRecipients 提供者會要求其所有數據收件者的清單。 none
unityCatalog rotateRecipientToken 提供者會輪替收件者的令牌。 * name:收件者的名稱。
* comment:旋轉命令中提供的批注。
unityCatalog updateRecipient 提供者會更新數據收件者的屬性。 * name:收件者的名稱。
* updates:已從共用新增或移除收件者屬性的 JSON 表示法。
unityCatalog createShare 提供者會更新數據收件者的屬性。 * name:共用的名稱。
* comment:共用的批注。
unityCatalog deleteShare 提供者會更新數據收件者的屬性。 * name:共用的名稱。
unityCatalog getShare 提供者要求共用的詳細數據。 * name:共用的名稱。
* include_shared_objects:共用的數據表名稱是否包含在要求中。
unityCatalog updateShare 提供者會從共用新增或移除數據資產。 * name:共用的名稱。
* updates:已從共用新增或移除之數據資產的 JSON 表示法。 每個專案都包含 action (新增或移除)、 name (資料表的實際名稱)、 shared_as (資產共用的名稱與實際名稱不同),以及 partition_specification (如果已提供分割區規格)。
unityCatalog listShares 提供者要求其共享的清單。 none
unityCatalog getSharePermissions 提供者要求共用許可權的詳細數據。 * name:共用的名稱。
unityCatalog updateSharePermissions 提供者會更新共享的許可權。 * name:共用的名稱。
* changes:更新許可權的 JSON 表示法。 每個變更都包含 principal (已授與或撤銷許可權的使用者或群組)、 add (已授與的許可權清單),以及 remove (已撤銷的許可權清單)。
unityCatalog getRecipientSharePermissions 提供者要求收件者共用許可權的詳細數據。 * name:共用的名稱。
unityCatalog getActivationUrlInfo 提供者會在其啟用連結上要求活動的詳細數據。 * recipient_name:開啟啟用 URL 的收件者名稱。
* is_ip_access_denied:如果沒有設定IP存取清單,則無。 否則, true 如果要求遭到拒絕,且 false 未拒絕要求則為 。 sourceIPaddress 是收件者IP位址。
unityCatalog generateTemporaryVolumeCredential 系統會為收件者產生暫時認證,以存取共用磁碟區。 * share_name:收件者要求共享的名稱。
* share_id:共用的識別碼。
* share_owner:共用的擁有者。
* recipient_name:要求認證的收件者名稱。
* recipient_id:收件者的標識碼。
* volume_full_name:磁碟區的完整 3 層名稱。
* volume_id:磁碟區的標識碼。
* volume_storage_location:磁碟區根目錄的雲端路徑。
* operationREAD_VOLUME:或 WRITE_VOLUME。 針對磁碟區共用,僅 READ_VOLUME 支援 。
* credential_id:認證的標識碼。
* credential_type:認證的類型。 值一律 StorageCredential為 。
* workspace_id:當要求是共用磁碟區時,值一律 0 為 。
unityCatalog generateTemporaryTableCredential 系統會為收件者產生暫時認證,以存取共享數據表。 * share_name:收件者要求共享的名稱。
* share_id:共用的識別碼。
* share_owner:共用的擁有者。
* recipient_name:要求認證的收件者名稱。
* recipient_id:收件者的標識碼。
* table_full_name:數據表的完整 3 層名稱。
* table_id:數據表的識別碼。
* table_url:資料表根目錄的雲端路徑。
* operationREAD:或 READ_WRITE
* credential_id:認證的標識碼。
* credential_type:認證的類型。 值一律 StorageCredential為 。
* workspace_id:當要求是共用數據表時,值一律 0 為 。

差異共用收件者事件

下列事件會記錄在數據收件者的帳戶中。 這些事件會記錄共享數據和 AI 資產的收件者存取權,以及與提供者管理相關聯的事件。 每一個事件也都包含下列要求參數:

  • recipient_name:資料提供者系統中收件者的名稱。
  • metastore_id:資料提供者系統中中繼存放區的名稱。
  • sourceIPAddress:要求來源的IP位址。
服務 動作 描述 要求參數
unityCatalog deltaSharingProxyGetTableVersion 數據收件者要求共用數據表版本的詳細數據。 * share:共用的名稱。
* schema:資料表父架構的名稱。
* name:數據表的名稱。
unityCatalog deltaSharingProxyGetTableMetadata 數據收件者要求共用數據表元數據的詳細數據。 * share:共用的名稱。
* schema:資料表父架構的名稱。
* name:數據表的名稱。
unityCatalog deltaSharingProxyQueryTable 數據收件者會查詢共享數據表。 * share:共用的名稱。
* schema:資料表父架構的名稱。
* name:數據表的名稱。
* limitHints:要傳回的數據列數目上限。
* predicateHints:查詢中包含的述詞。
* version:如果已啟用變更數據摘要,則為數據表版本。
unityCatalog deltaSharingProxyQueryTableChanges 數據收件者會查詢變更數據表的數據。 * share:共用的名稱。
* schema:資料表父架構的名稱。
* name:數據表的名稱。
* cdf_options:變更數據摘要選項。
unityCatalog createProvider 數據收件者會建立提供者物件。 * name:提供者的名稱。
* comment:提供者的批注。
unityCatalog updateProvider 數據收件者會更新提供者物件。 * name:提供者的名稱。
* updates:已從共用新增或移除之提供者屬性的 JSON 表示法。 每個專案都包含 action (新增或移除),而且可以包含 name (新的提供者名稱)、 owner (新的擁有者)和 comment
unityCatalog deleteProvider 數據收件者會刪除提供者物件。 * name:提供者的名稱。
unityCatalog getProvider 數據收件者會要求提供者對象的詳細數據。 * name:提供者的名稱。
unityCatalog listProviders 數據收件者要求提供者清單。 none
unityCatalog activateProvider 數據收件者會啟動提供者物件。 * name:提供者的名稱。
unityCatalog listProviderShares 數據收件者要求提供者共用的清單。 * name:提供者的名稱。
unityCatalog generateTemporaryVolumeCredential 系統會為收件者產生暫時認證,以存取共用磁碟區。 * share_name:收件者要求共享的名稱。
* volume_full_name:磁碟區的完整 3 層名稱。
* volume_id:磁碟區的標識碼。
* operationREAD_VOLUME:或 WRITE_VOLUME。 針對磁碟區共用,僅 READ_VOLUME 支援 。
* workspace_id:接收使用者要求的工作區標識碼。
unityCatalog generateTemporaryTableCredential 系統會為收件者產生暫時認證,以存取共享數據表。 * share_name:收件者要求共享的名稱。
* table_full_name:數據表的完整 3 層名稱。
* table_id:數據表的識別碼。
* operationREAD:或 READ_WRITE
* workspace_id:接收使用者要求的工作區標識碼。

其他安全性監視事件

針對傳統計算平面中的 Azure Databricks 計算資源,例如叢集和專業或傳統 SQL 倉儲的 VM,下列功能可啟用其他監視代理程式:

檔案完整性監視事件

capsule8-alerts-dataplane下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
capsule8-alerts-dataplane Heartbeat 確認監視器為開啟的一般事件。 目前每 10 分鐘執行一次。 * instanceId
capsule8-alerts-dataplane Memory Marked Executable 記憶體通常會標示為可執行檔,以允許惡意代碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體許可權設定為可執行檔時警示。 這可能會導致特定應用程式伺服器的誤判。 * instanceId
capsule8-alerts-dataplane File Integrity Monitor 監視重要系統檔案的完整性。 針對這些檔案的任何未經授權的變更警示。 Databricks 會定義映像上的特定系統路徑集,而且此組路徑可能會隨著時間而變更。 * instanceId
capsule8-alerts-dataplane Systemd Unit File Modified 系統單位的變更可能會導致安全性控制放鬆或停用,或安裝惡意服務。 每當 systemd 非 的程式 systemctl修改單位檔案時,就會警示。 * instanceId
capsule8-alerts-dataplane Repeated Program Crashes 重複的程式當機可能表示攻擊者嘗試惡意探索記憶體損毀弱點,或受影響應用程式中發生穩定性問題。 透過分割錯誤,在個別程序當機的5個以上的實例時警示。 * instanceId
capsule8-alerts-dataplane Userfaultfd Usage 由於容器通常是靜態工作負載,此警示可能表示攻擊者已入侵容器,並嘗試安裝並執行後門。 在 30 分鐘內建立或修改的檔案會在容器內執行時發出警示。 * instanceId
capsule8-alerts-dataplane New File Executed in Container 記憶體通常會標示為可執行檔,以允許惡意代碼在惡意探索應用程式時執行。 當程式將堆積或堆疊記憶體許可權設定為可執行檔時警示。 這可能會導致特定應用程式伺服器的誤判。 * instanceId
capsule8-alerts-dataplane Suspicious Interactive Shell 在現代化生產基礎結構上,互動式殼層很少出現。 當互動式殼層以常用於反向殼層的自變數啟動時警示。 * instanceId
capsule8-alerts-dataplane User Command Logging Evasion 逃避命令記錄是攻擊者的常見做法,但也可能表示合法使用者正在執行未經授權的動作或嘗試逃避原則。 偵測到使用者命令記錄變更時警示,指出用戶嘗試逃避命令記錄。 * instanceId
capsule8-alerts-dataplane BPF Program Executed 偵測某些類型的核心後門。 載入新的 Berkeley Packet Filter (BPF) 程式可能表示攻擊者正在載入以 BPF 為基礎的 rootkit,以取得持續性並避免偵測。 當進程載入新的特殊許可權 BPF 程式時發出警示,如果進程已經屬於進行中事件的一部分。 * instanceId
capsule8-alerts-dataplane Kernel Module Loaded 攻擊者通常會載入惡意核心模組(rootkits),以逃避偵測並維護遭入侵節點上的持續性。 載入核心模組時,如果程式已經屬於進行中事件的一部分,就會警示。 * instanceId
capsule8-alerts-dataplane Suspicious Program Name Executed-Space After File 攻擊者可能會建立或重新命名惡意二進位檔,以在名稱結尾包含空格,以模擬合法的系統程序或服務。 當程式在程式名稱後面以空格執行時發出警示。 * instanceId
capsule8-alerts-dataplane Illegal Elevation Of Privileges 核心許可權提升惡意探索通常會讓不具特殊許可權的用戶獲得根許可權,而不需要通過標準網關進行許可權變更。 當程式嘗試透過不尋常的方式提高許可權時警示。 這可能會在具有大量工作負載的節點上發出誤判警示。 * instanceId
capsule8-alerts-dataplane Kernel Exploit 一般程式無法存取內部核心函式,如果呼叫,就是核心惡意探索已執行的強項指標,而且攻擊者可以完全控制節點。 當核心函式意外傳回用戶空間時警示。 * instanceId
capsule8-alerts-dataplane Processor-Level Protections Disabled SMEP 和 SMAP 是處理器層級保護,可增加核心惡意探索成功難度,而停用這些限制是核心惡意探索的常見早期步驟。 當程式竄改核心 SMEP/SMAP 設定時警示。 * instanceId
capsule8-alerts-dataplane Container Escape via Kernel Exploitation 當程式使用容器逸出惡意探索中常用的核心函式時警示,指出攻擊者正在將許可權從容器存取提升至節點存取。 * instanceId
capsule8-alerts-dataplane Privileged Container Launched 特殊許可權容器可直接存取主機資源,因而在遭入侵時產生更大的影響。 啟動特殊許可權容器時發出警示,如果容器不是已知的特殊許可權映像,例如 kube-proxy。 這可能會對合法特殊許可權容器發出不必要的警示。 * instanceId
capsule8-alerts-dataplane Userland Container Escape 許多容器逸出會強制主機執行容器內二進位檔,導致攻擊者完全控制受影響的節點。 從容器外部執行容器建立的檔案時發出警示。 * instanceId
capsule8-alerts-dataplane AppArmor Disabled In Kernel 某些 AppArmor 屬性的修改只能發生在核心內,表示核心惡意探索或 rootkit 已停用 AppArmor。 當 AppArmor 狀態從感測器啟動時偵測到的 AppArmor 組態變更時警示。 * instanceId
capsule8-alerts-dataplane AppArmor Profile Modified 攻擊者可能會嘗試停用 AppArmor 配置檔的強制執行,做為逃避偵測的一部分。 在 SSH 作業階段中使用者未執行 AppArmor 設定檔時發出警示。 * instanceId
capsule8-alerts-dataplane Boot Files Modified 如果未由信任的來源執行(例如套件管理員或組態管理工具),則修改開機檔案可能表示攻擊者修改核心或其選項,以取得主機的持續存取權。 在 中 /boot對檔案進行變更時發出警示,指出安裝新的核心或開機組態。 * instanceId
capsule8-alerts-dataplane Log Files Deleted 記錄管理工具未執行的記錄刪除可能表示攻擊者正嘗試移除入侵指標。 刪除系統記錄檔的警示。 * instanceId
capsule8-alerts-dataplane New File Executed 來自系統更新程式以外的來源新建立的檔案可能是後門、核心惡意探索,或惡意探索鏈結的一部分。 在 30 分鐘內建立或修改的檔案執行時發出警示,不包括系統更新程式所建立的檔案。 * instanceId
capsule8-alerts-dataplane Root Certificate Store Modified 修改跟證書存儲可能會指出惡意證書頒發機構單位的安裝、啟用網路流量攔截或略過程式代碼簽章驗證。 變更系統 CA 憑證存儲時的警示。 * instanceId
capsule8-alerts-dataplane Setuid/Setgid Bit Set On File 設定 setuid/setgid 位可用來為節點上的許可權提升提供持續性方法。 在具有chmod系統呼叫系列之檔案上設定 或 setgid 位時setuid發出警示。 * instanceId
capsule8-alerts-dataplane Hidden File Created 攻擊者通常會在遭入侵的主機上建立隱藏的檔案,做為遮蔽工具和承載的方法。 當隱藏的檔案是由與進行中事件相關聯的程式所建立時警示。 * instanceId
capsule8-alerts-dataplane Modification Of Common System Utilities 攻擊者可能會修改系統公用程式,以便在執行這些公用程式時執行惡意承載。 當未經授權的進程修改通用系統公用程式時警示。 * instanceId
capsule8-alerts-dataplane Network Service Scanner Executed 攻擊者或流氓使用者可能會使用這些程式來調查連線的網路,讓其他節點遭到入侵。 執行常見的網路掃描程式工具時發出警示。 * instanceId
capsule8-alerts-dataplane Network Service Created 攻擊者可能會啟動新的網路服務,以在入侵後輕鬆存取主機。 當程序啟動新的網路服務時,如果程式已經是進行中事件的一部分,就會警示。 * instanceId
capsule8-alerts-dataplane Network Sniffing Program Executed 攻擊者或流氓使用者可能會執行網路探查命令來擷取認證、個人標識資訊(PII)或其他敏感性資訊。 執行允許網路擷取的程式時發出警示。 * instanceId
capsule8-alerts-dataplane Remote File Copy Detected 使用檔案傳輸工具可能表示攻擊者正嘗試將工具組移至其他主機,或將數據外泄至遠端系統。 當執行與遠端檔案複製相關聯的程式時發出警示,如果程式已經是進行中事件的一部分。 * instanceId
capsule8-alerts-dataplane Unusual Outbound Connection Detected 命令和控制通道和密碼加密礦工通常會在不尋常的埠上建立新的輸出網路連線。 如果程式已經屬於進行中事件的一部分,當程式在不常見埠上起始新連線時,就會警示。 * instanceId
capsule8-alerts-dataplane Data Archived Via Program 取得系統的存取權之後,攻擊者可能會建立壓縮的檔案封存,以減少數據的大小以進行外流。 執行數據壓縮程式時發出警示,如果程式已經屬於進行中的事件。 * instanceId
capsule8-alerts-dataplane Process Injection 使用進程插入技術通常表示使用者正在偵錯程式,但也可能表示攻擊者正在讀取秘密,或將程式代碼插入其他進程。 當程式使用 ptrace (偵錯) 機制來與另一個進程互動時警示。 * instanceId
capsule8-alerts-dataplane Account Enumeration Via Program 攻擊者通常會使用帳戶列舉程序來判斷其存取層級,並查看其他使用者目前是否登入節點。 如果程式已經屬於進行中事件的一部分,當與帳戶列舉相關聯的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane File and Directory Discovery Via Program 探索文件系統是攻擊者尋找相關認證和數據時常見的惡意探索後行為。 如果程式已經屬於進行中事件的一部分,當與檔案和目錄列舉相關聯的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane Network Configuration Enumeration Via Program 攻擊者可以在橫向移動之前審訊局域網路和路由資訊,以識別相鄰主機和網路。 如果程式已經屬於進行中事件的一部分,當與網路組態列舉相關聯的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane Process Enumeration Via Program 攻擊者通常會列出執行中的程式,以識別節點的目的,以及是否有任何安全性或監視工具都已就緒。 如果程式已經屬於進行中事件的一部分,當程式與進程列舉相關聯的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane System Information Enumeration Via Program 攻擊者通常會執行系統列舉命令來判斷Linux核心和散發版本和功能,通常用來識別節點是否受到特定弱點的影響。 如果程式已經屬於進行中事件的一部分,當系統資訊列舉相關聯的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane Scheduled Tasks Modified Via Program 修改排程的工作是在遭入侵的節點上建立持續性的常見方法。 當、 atbatch 命令用來修改排程的工作組態時crontab發出警示。 * instanceId
capsule8-alerts-dataplane Systemctl Usage Detected 系統單位的變更可能會導致安全性控制放鬆或停用,或安裝惡意服務。 當命令用來修改系統單位時 systemctl 發出警示。 * instanceId
capsule8-alerts-dataplane User Execution Of su Command 明確向根使用者呈報可減少將特殊許可權活動與特定使用者相互關聯的能力。 執行命令時 su 發出警示。 * instanceId
capsule8-alerts-dataplane User Execution Of sudo Command 執行命令時 sudo 發出警示。 * instanceId
capsule8-alerts-dataplane User Command History Cleared 刪除歷程記錄檔案是不尋常的,通常是由攻擊者隱藏活動或想要逃避稽核控制的合法用戶執行。 刪除命令行歷程記錄檔時發出警示。 * instanceId
capsule8-alerts-dataplane New System User Added 攻擊者可能會將新的使用者新增至主機,以提供可靠的存取方法。 如果系統更新程式未新增實體,則警示是否已將新的用戶實體新增至本機帳戶管理檔案 /etc/passwd * instanceId
capsule8-alerts-dataplane Password Database Modification 攻擊者可能會直接修改身分識別相關檔案,以將新使用者新增至系統。 當與使用者密碼相關的檔案由與更新現有使用者資訊無關的程式修改時警示。 * instanceId
capsule8-alerts-dataplane SSH Authorized Keys Modification 新增 SSH 公鑰是取得遭入侵主機持續存取的常見方法。 如果程式已經屬於進行中事件的一部分,則會在嘗試寫入使用者的SSH authorized_keys 檔案時警示。 * instanceId
capsule8-alerts-dataplane User Account Created Via CLI 在遭入侵的節點上建立持續性時,新增用戶是攻擊者常見的步驟。 當身分識別管理程式是由套件管理員以外的程式執行時發出警示。 * instanceId
capsule8-alerts-dataplane User Configuration Changes 刪除歷程記錄檔案是不尋常的,通常是由攻擊者隱藏活動或想要逃避稽核控制的合法用戶執行。 刪除命令行歷程記錄檔時發出警示。 * instanceId
capsule8-alerts-dataplane New System User Added 使用者配置檔和組態檔通常會修改為持續性方法,以便在使用者登入時執行程式。 系統 .bash_profile 更新工具以外的程式會修改和 bashrc (以及相關檔案) 的警示。 * instanceId

防毒監視事件

注意

response這些稽核記錄中的 JSON 物件一律有一個result欄位,其中包含一行原始掃描結果。 每個掃描結果通常是由多個稽核記錄檔記錄來表示,每一行原始掃描輸出各一個。 如需此檔案中可能顯示的詳細數據,請參閱下列 第三方檔

clamAVScanService-dataplane下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
clamAVScanService-dataplane clamAVScanAction 防病毒軟體監視會執行掃描。 記錄檔將針對原始掃描輸出的每一行產生。 * instanceId

系統記錄事件

注意

response 核記錄中的 JSON 物件具有包含 result 原始系統記錄內容的欄位。

syslog下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
syslog processEvent 系統記錄檔會處理事件。 * instanceId
* processName

進程監視器記錄事件

monit下列事件會記錄在工作區層級。

服務 動作 描述 要求參數
monit processNotRunning 監視器未執行。 * instanceId
* processName
monit processRestarting 監視器正在重新啟動。 * instanceId
* processName
monit processStarted 監視器已啟動。 * instanceId
* processName
monit processRunning 監視器正在執行。 * instanceId
* processName

已淘汰的記錄事件

Databricks 已取代下列診斷事件:

  • createAlertDestination (現在 createNotificationDestination
  • deleteAlertDestination (現在 deleteNotificationDestination
  • updateAlertDestination (現在 updateNotificationDestination

SQL 端點記錄

如果您使用已被取代的 SQL 端點 API 建立 SQL 倉儲(SQL 倉儲的前名稱),對應的稽核事件名稱會包含一個字 Endpoint ,而不是 Warehouse。 除了名稱之外,這些事件與 SQL 倉儲事件相同。 若要檢視這些事件的描述和要求參數,請參閱 Databricks SQL 事件中的 對應倉儲事件

SQL 端點事件如下:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig