この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。
アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、 システムテーブル (パブリック プレビュー) を使用することです。
定期的なログ配信を設定する場合は、「 監査ログ配信の設定」をご覧ください。
監査ログサービス
次のサービスとそのイベントは、デフォルトで監査ログに記録されます。
ワークスペースレベルのサービス
ワークスペースレベルの監査ログは、次のサービスで使用できます。
アカウントレベルのサービス
アカウントレベルの監査ログは、次のサービスで使用できます。
追加のセキュリティ モニタリング サービス
コンプライアンス セキュリティ プロファイル (HIPPA などの一部のコンプライアンス標準に必要) または拡張セキュリティ モニタリングを使用するワークスペースには、追加のサービスおよび関連アクションがあります。
これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されるワークスペース レベルのサービスです。
監査ログの例のスキーマ
Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceNameプロパティとactionNameプロパティで識別されます。命名規則はDatabricks REST APIに従います。
次の例は、createMetastoreAssignmentイベントのものです。
JSON
{
"version": "2.0",
"auditLevel": "ACCOUNT_LEVEL",
"timestamp": 1629775584891,
"orgId": "3049056262456431186970",
"shardName": "test-shard",
"accountId": "77636e6d-ac57-484f-9302-f7922285b9a5",
"sourceIPAddress": "10.2.91.100",
"userAgent": "curl/7.64.1",
"sessionId": "f836a03a-d360-4792-b081-baba525324312",
"userIdentity": {
"email": "crampton.rods@email.com",
"subjectName": null
},
"serviceName": "unityCatalog",
"actionName": "createMetastoreAssignment",
"requestId": "ServiceMain-da7fa5878f40002",
"requestParams": {
"workspace_id": "30490590956351435170",
"metastore_id": "abc123456-8398-4c25-91bb-b000b08739c7",
"default_catalog_name": "main"
},
"response": {
"statusCode": 200,
"errorMessage": null,
"result": null
},
"MAX_LOG_MESSAGE_LENGTH": 16384
}
監査ログ スキーマに関する考慮事項
- アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアの
requestIdは同じものになります。
- オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、
System-Userユーザーによって実行されます。
requestParamsフィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncatedが追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATEDキーが設定されます。
アカウントイベント
ワークスペースレベルでログに記録されるaccountsイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
accounts
| accountLoginCodeAuthentication
| ユーザーのアカウントのログイン コードが認証されます。 | |
accounts
| activateUser
| ユーザーは非アクティブ化された後に再アクティブ化されます。 「ワークスペースでのユーザーの非アクティブ化」を参照してください。 |
targetUserName - endpoint - targetUserId |
accounts
| add
| ユーザーが Databricks ワークスペースに追加されます。 |
targetUserName - endpoint - targetUserId |
accounts
| addPrincipalToGroup
| ユーザーがワークスペース レベルのグループに追加されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| addX509
| ユーザー アカウントは、認証に X509 証明書を使用して追加されます。 | |
accounts
| certLogin
| ユーザーは X509 認定を使用して Databricks にログインします。 | |
accounts
| changeDatabricksSqlAcl
| ユーザーの Databricks SQL アクセス許可が変更されます。 |
shardName - targetUserId - resourceId - aclPermissionSet |
accounts
| changeDatabricksWorkspaceAcl
| ワークスペースへのアクセス許可が変更されます。 |
shardName - targetUserId - resourceId - aclPermissionSet |
accounts
| changeDbTokenAcl
| アクセス トークンのアクセス許可が変更されます。 |
shardName - targetUserId - resourceId - aclPermissionSet |
accounts
| changeDbTokenState
| Databricks アクセス トークンが無効になっています。 |
tokenHash - tokenState - userId |
accounts
| changePassword
| ユーザーのパスワードが変更されました。 |
newPasswordSource - targetUserId - serviceSource - wasPasswordChanged - userId |
accounts
| changePasswordAcl
| パスワード変更の権限がアカウントで変更されている。 |
shardName - targetUserId - resourceId - aclPermissionSet |
accounts
| changeServicePrincipalAcls
| サービスプリンシパルの権限が変更されたとき。 |
shardName - targetServicePrincipal - resourceId - aclPermissionSet |
accounts
| createFederationPolicy
| アカウント 管理者 は、アカウントまたはサービスプリンシパルのフェデレーション ポリシーを作成します。 |
policy_id - service_principal_id (オプション) |
accounts
| createGroup
| ワークスペース レベルのグループが作成されます。 |
endpoint - targetUserId - targetUserName |
accounts
| createIpAccessList
| IP アクセス リストがワークスペースに追加されます。 | |
accounts
| deactivateUser
| ワークスペースでユーザーが非アクティブ化されています。 ワークスペースでのユーザーの非アクティブ化を参照してください。 |
targetUserName - endpoint - targetUserId |
accounts
| delete
| ユーザーが Databricks ワークスペースから削除されます。 |
targetUserId - targetUserName - endpoint |
accounts
| deleteFederationPolicy
| アカウント 管理者 がアカウントまたはサービスプリンシパル のフェデレーション ポリシーを削除します。 |
policy_id - service_principal_id (オプション) |
accounts
| deleteIpAccessList
| IP アクセス リストがワークスペースから削除されます。 | |
accounts
| garbageCollectDbToken
| ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash |
accounts
| generateDbToken
| ユーザーがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。 |
tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts
| IpAccessDenied
| ユーザーが拒否された IP を使用してサービスに接続しようとします。 | |
accounts
| ipAccessListQuotaExceeded
| | |
accounts
| jwtLogin
| ユーザーは JWT を使用して Databricks にログインします。 |
user - authenticationMethod |
accounts
| login
| ユーザーがワークスペースにログインします。 |
user - authenticationMethod |
accounts
| logout
| ユーザーがワークスペースからログアウトします。 | |
accounts
| mfaAddKey
| User 新しいセキュリティ キーを登録する。 | |
accounts
| mfaDeleteKey
| ユーザーがセキュリティ キーを削除します。 | |
accounts
| mfaLogin
| ユーザーは MFA を使用して Databricks にログインします。 |
user - authenticationMethod |
accounts
| oidcTokenAuthorization
| API 呼び出しが汎用 OIDC/OAuth トークンを介して承認されている場合。 |
user - authenticationMethod |
accounts
| passwordVerifyAuthentication
| | |
accounts
| reachMaxQuotaDbToken
| 有効期限が切れていないトークンの現在の数がトークン クォータを超えた場合。 | |
accounts
| removeAdmin
| ユーザーがワークスペース管理者の権限を取り消された場合。 |
targetUserName - endpoint - targetUserId |
accounts
| removeGroup
| グループがワークスペースから削除されます。 |
targetGroupId - targetGroupName - endpoint |
accounts
| removePrincipalFromGroup
| ユーザーがグループから削除されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| resetPassword
| ユーザーのパスワードがリセットされます。 |
serviceSource - userId - endpoint - targetUserId - targetUserName - wasPasswordChanged - newPasswordSource |
accounts
| revokeDbToken
| ユーザーのトークンがワークスペースから削除されます。ユーザーが Databricks アカウントから削除されることによってトリガーできます。 | |
accounts
| samlLogin
| ユーザーは SAML SSO を使用して Databricks にログインします。 |
user - authenticationMethod |
accounts
| setAdmin
| ユーザーにはアカウント管理者権限が付与されます。 |
endpoint - targetUserName - targetUserId |
accounts
| tokenLogin
| ユーザーはトークンを使用して Databricks にログインします。 |
tokenId - user - authenticationMethod |
accounts
| updateFederationPolicy
| アカウント admin は、アカウントまたはサービスプリンシパル federation ポリシーを更新します。 |
policy_id - service_principal_id (オプション) |
accounts
| updateIpAccessList
| IPアクセスリストが変更された。 | |
accounts
| updateUser
| アカウント管理者は、ユーザーのアカウントを更新します。 |
targetUserName - endpoint - targetUserId |
accounts
| validateEmail
| ユーザーがアカウント作成後にEメールを検証した場合。 |
endpoint - targetUserName - targetUserId |
accounts
| workspaceLoginCodeAuthentication
| ユーザーのワークスペース スコープのログイン コードが認証されます。 |
user - authenticationMethod |
AI/BIダッシュボード イベント
ワークスペースレベルでログに記録されるdashboardsイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
dashboards
| getDashboard
| ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。 | |
dashboards
| getPublishedDashboard
| ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードの公開バージョンにアクセスします。 ワークスペースユーザーとアカウントユーザーの両方からのアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードのPDFスナップショットの受信は除きます。 |
dashboard_id - credentials_embedded |
dashboards
| executeQuery
| ユーザーがダッシュボードからクエリを実行します。 |
dashboard_id - statement_id |
dashboards
| cancelQuery
| ユーザーがダッシュボードからクエリをキャンセルしました。 |
dashboard_id - statement_id |
dashboards
| getQueryResult
| ユーザーは、ダッシュボードからクエリの結果を受け取ります。 |
dashboard_id - statement_id |
dashboards
| triggerDashboardSnapshot
| ユーザーは、ダッシュボードの PDF スナップショットをダウンロードします。 | |
dashboards
| sendDashboardSnapshot
| ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。 要求パラメーターの値は、受信者のタイプによって異なります。Databricks 通知先の場合、 destination_id のみが表示されます。Databricksユーザーの場合は、契約者のユーザーIDとEメールアドレスが表示されます。受信者がEメールアドレスの場合は、Eメールアドレスのみが表示されます。 |
dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id, email_address } |
dashboards
| getDashboardDetails
| ユーザーは、データセットやウィジェットなど、ドラフトダッシュボードの詳細にアクセスします。 getDashboardDetails は、ユーザーが UI を使用してドラフト ダッシュボードを表示するか、API を使用してダッシュボード定義を要求したときに常に発行されます。 | |
dashboards
| createDashboard
| ユーザーは、UI または を使用して新しい を作成します。AI/BIダッシュボードAPI | |
dashboards
| updateDashboard
| AI/BIダッシュボードユーザーは、UI または を使用してAPI を更新します。 | |
dashboards
| cloneDashboard
| ユーザーが AI/BIダッシュボードをクローンします。 |
source_dashboard_id - new_dashboard_id |
dashboards
| publishDashboard
| AI/BIダッシュボードユーザーは、UI または を使用して、埋め込み資格情報の有無にかかわらずAPI を公開します。 |
dashboard_id - credentials_embedded - warehouse_id |
dashboards
| unpublishDashboard
| ユーザーがAI/BIダッシュボード UI または を使用して公開済みのAPI を非公開にします。 | |
dashboards
| trashDashboard
| ユーザーは、ダッシュボードのUIまたは Lakeview API コマンドを使用してダッシュボードをゴミ箱に移動します。 このイベントは、これらのチャンネルを通じて実行された場合にのみログに記録され、ワークスペースのアクションではログに記録されません。 ワークスペースのアクションを監査するには、「ワークスペース イベント」を参照してください。 | |
dashboards
| restoreDashboard
| AI/BIダッシュボードユーザーは、ダッシュボードの UI またはLakeviewAPI コマンドを使用して、ごみ箱から を復元します。このイベントは、これらのチャンネルを通じて実行された場合にのみログに記録され、ワークスペースのアクションではログに記録されません。 ワークスペースのアクションを監査するには、「ワークスペース イベント」を参照してください。 | |
dashboards
| migrateDashboard
| ユーザーが DBSQL ダッシュボードを AI/BIダッシュボード. |
source_dashboard_id - new_dashboard_id |
dashboards
| createSchedule
| ユーザーがEメール サブスクリプション スケジュールを作成します。 |
dashboard_id - schedule_id |
dashboards
| updateSchedule
| ユーザーが AI/BIダッシュボードのスケジュールを更新します。 |
dashboard_id - schedule_id |
dashboards
| deleteSchedule
| ユーザーが AI/BIダッシュボードのスケジュールを削除します。 |
dashboard_id - schedule_id |
dashboards
| createSubscription
| ユーザーが Eメール デスティネーションを AI/BIダッシュボード スケジュールに登録します。 |
dashboard_id - schedule_id - schedule |
dashboards
| deleteSubscription
| ユーザーが Eメール デスティネーションを AI/BIダッシュボード スケジュールから削除しました。 |
dashboard_id - schedule_id |
AI/BI Genie イベント
ワークスペースレベルでログに記録されるaibiGenieイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
aibiGenie
| createSpace
| ユーザーが新しい Genieスペースを作成します。 新しいスペースの space_id は、 response 列に記録されます。 | |
aibiGenie
| getSpace
| ユーザーが Genieスペースにアクセスします。 | |
aibiGenie
| listSpaces
| ユーザーは、使用可能なすべての Genie spacesをリストします。 | |
aibiGenie
| updateSpace
| ユーザーが Genieスペースの設定を更新します。 可能な設定には、タイトル、説明、ウェアハウス、テーブル、サンプルの質問などがあります。 |
space_id - display_name - description - warehouse_id - table_identifiers |
aibiGenie
| trashSpace
| Genieスペースがゴミ箱に移動されます。 | |
aibiGenie
| cloneSpace
| ユーザーが Genieスペースをクローニングします。 | |
aibiGenie
| genieGetSpace
| ユーザーは、 Genieを使用して スペースの詳細にアクセスします。API | |
aibiGenie
| createConversation
| ユーザーが Genieスペースに新しい会話スレッドを作成します。 | |
aibiGenie
| listConversations
| ユーザーは、 Genieスペースで会話のリストを開きます。 | |
aibiGenie
| genieStartConversationMessage
| ユーザーは、API を使用してメッセージで会話スレッドを開始します。 |
space_id - conversation_id |
aibiGenie
| getConversation
| ユーザーが Genieスペースで会話スレッドを開きます。 |
conversation_id - space_id |
aibiGenie
| updateConversation
| ユーザーが会話スレッドのタイトルを更新します。 |
conversation_id - space_id |
aibiGenie
| deleteConversation
| ユーザーが Genieスペース内の会話スレッドを削除します。 |
conversation_id - space_id |
aibiGenie
| createConversationMessage
| ユーザーが新しいメッセージを Genieスペースに送信します。 |
conversation_id - space_id |
aibiGenie
| genieCreateConversationMessage
| ユーザーは、API を使用して会話で新しいメッセージを作成します。 |
conversation_id - space_id - message_id |
aibiGenie
| getConversationMessage
| ユーザーが Genieスペース内のメッセージにアクセスします。 |
conversation_id - space_id - message_id |
aibiGenie
| genieGetConversationMessage
| ユーザーは、API を使用して会話内の特定のメッセージを取得します。 |
conversation_id - space_id - message_id |
aibiGenie
| deleteConversationMessage
| ユーザーが既存のメッセージを削除しました。 |
conversation_id - space_id - message_id |
aibiGenie
| genieGetMessageQueryResult
| Genie は、API を使用して会話メッセージに関連付けられたクエリ結果を取得します。 |
conversation_id - space_id、 message_id |
aibiGenie
| genieGetMessageAttachmentQueryResult
| ユーザーは、API を使用してメッセージ添付ファイルのクエリ結果を取得します。 |
conversation_id - space_id - attachment_id |
aibiGenie
| executeFullQueryResult
| ユーザーは、API を使用して完全なクエリ結果を取得します (最大 ~1 GB のサイズ)。 |
space_id - conversation_id - message_id |
aibiGenie
| genieExecuteMessageQuery
| Genieは、生成されたSQLを実行して、APIを使用したデータ更新アクションを含むクエリ結果を返します。 |
conversation_id - space_id - message_id |
aibiGenie
| genieExecuteMessageAttachmentQuery
| Genie は、API を使用してメッセージ添付ファイルの結果のクエリを実行します。 |
conversation_id - space_id - message_id - attachment_id |
aibiGenie
| getMessageQueryResult
| Genie は、会話メッセージに関連付けられたクエリ結果を取得します。 |
conversation_id - space_id、 message_id |
aibiGenie
| createInstruction
| ユーザーが Genieスペースの指示を作成します。 |
space_id - instruction_type |
aibiGenie
| listInstructions
| ユーザーは、「指示」タブまたは「データ」タブに移動します。 | |
aibiGenie
| updateInstruction
| ユーザーが Genieスペースの指示を更新します。 |
space_id - instruction_id |
aibiGenie
| deleteInstruction
| ユーザーが Genieスペースの指示を削除します。 |
space_id - instruction_id |
aibiGenie
| updateSampleQuestions
| ユーザーがスペースのデフォルトのサンプル質問を更新します。 | |
aibiGenie
| createCuratedQuestion
| ユーザーがサンプル問題またはベンチマーク問題を作成します。 | |
aibiGenie
| deleteCuratedQuestion
| ユーザーがサンプルの質問またはベンチマークの質問を削除しました。 |
space_id - curated_question_id |
aibiGenie
| listCuratedQuestions
| ユーザーは、スペース内のサンプル質問またはベンチマーク質問のリストにアクセスします。 これは、ユーザーが新しいチャットを開いたり、ベンチマークを表示したり、サンプルの質問を追加したりするたびにログに記録されます。 | |
aibiGenie
| updateCuratedQuestion
| ユーザーがサンプルの質問またはベンチマークの質問を更新します。 |
space_id - curated_question_id |
aibiGenie
| createEvaluationResult
| Genieは、評価実行で特定の質問に対する評価結果を作成します。 | |
aibiGenie
| getEvaluationResult
| ユーザーは、評価実行で特定の質問の結果にアクセスします。 | |
aibiGenie
| getEvaluationResultDetails
| ユーザーは、評価実行で特定の質問のクエリ結果にアクセスします。 | |
aibiGenie
| updateEvaluationResult
| ユーザーは、特定の質問の評価結果を更新します。 | |
aibiGenie
| createEvaluationRun
| ユーザーが新しい評価実行を作成します。 | |
aibiGenie
| listEvaluationResults
| ユーザーは、評価実行の結果の一覧にアクセスします。 | |
aibiGenie
| listEvaluationRuns
| ユーザーは、すべての評価実行の一覧にアクセスします。 | |
aibiGenie
| createConversationMessageComment
| ユーザーが会話メッセージにフィードバック コメントを追加します。 |
conversation_id - space_id - message_id |
aibiGenie
| listConversationMessageComments
| ユーザーは、スペースからフィードバック コメントのリストにアクセスします。 |
space_id - conversation_ids - message_ids - user_ids - comment_types |
aibiGenie
| deleteConversationMessageComment
| ユーザーが会話メッセージに追加されたフィードバック コメントを削除します。 |
conversation_id - space_id - message_id - message_comment_id |
アラート イベント
次の alerts イベントは、ワークスペース レベルでログに記録されます。
このサービスは、従来のアラート イベントを記録しません。従来のアラート イベントは、 databrickssql サービスでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
alerts
| apiCreateAlert
| ユーザーは、アラート V2 APIを使用してアラートを作成します。 | |
alerts
| apiGetAlert
| ユーザーは、アラート V2 APIを使用してアラートを受け取ります。 | |
alerts
| apiTrashAlert
| ユーザーがアラート V2 APIを使用してアラートを削除します。 | |
alerts
| apiUpdateAlert
| ユーザーは、アラート V2 APIを使用してアラートを更新します。 | |
alerts
| cloneAlert
| ユーザーが既存のアラートを複製します。 | |
alerts
| createAlert
| ユーザーが新しいアラートを作成します。 | |
alerts
| getAlert
| ユーザーは、UI を使用してアラートに関する情報を取得します。 | |
alerts
| previewAlertEvaluate
| テスト条件 機能は、アラートテストの結果を返します。 | |
alerts
| previewAlertExecute
| ユーザーは、 テスト条件 機能を使用して、アラートをプレビューおよびテストします。 | |
alerts
| runNowAlert
| ユーザーが [ 今すぐ実行 ] ボタンをクリックすると、アラート クエリがすぐに実行されます。 | |
alerts
| updateAlert
| ユーザーがアラートの詳細を更新します。 | |
クラスター イベント
ワークスペースレベルでログに記録されるclusterイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
clusters
| changeClusterAcl
| ユーザーがクラスター ACLを変更します。 |
shardName - aclPermissionSet - targetUserId - resourceId |
clusters
| create
| ユーザーがクラスターを作成します。 |
cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine |
clusters
| createResult
| クラスター作成の結果。createと組み合わせて使用されます。 |
clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters
| delete
| クラスターが終了します。 | |
clusters
| deleteResult
| クラスターの終了の結果。 delete. |
clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters
| edit
| ユーザーがクラスター設定を変更します。 これにより、クラスター サイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。 |
cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine |
clusters
| permanentDelete
| クラスターが UI から削除されます。 | |
clusters
| resize
| クラスターのサイズが変更されます。 これは、クラスター サイズまたはオートスケールの動作のいずれかを変更する唯一のプロパティである稼働中のクラスターに記録されます。 |
cluster_id - num_workers - autoscale |
clusters
| resizeResult
| クラスターのサイズ変更の結果。 resize. |
clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters
| restart
| ユーザーが稼働中のクラスターを再起動します。 | |
clusters
| restartResult
| クラスターの再起動の結果。 restart. |
clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters
| start
| ユーザーがクラスターを開始します。 |
init_scripts_safe_mode - cluster_id |
clusters
| startResult
| クラスター開始の結果。 start. |
clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
クラスター ライブラリ イベント
ワークスペースレベルでログに記録されるclusterLibrariesイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
clusterLibraries
| installLibraries
| ユーザーがクラスターにライブラリをインストールします。 | |
clusterLibraries
| uninstallLibraries
| ユーザーがクラスター上のライブラリをアンインストールします。 | |
clusterLibraries
| installLibraryOnAllClusters
| ワークスペース管理者は、ライブラリをすべてのクラスターにインストールするようにスケジュールします。 | |
clusterLibraries
| uninstallLibraryOnAllClusters
| ワークスペース管理者は、ライブラリをリストから削除して、すべてのクラスターにインストールします。 | |
クラスターポリシー イベント
ワークスペースレベルでログに記録されるclusterPoliciesイベントを次に示します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
clusterPolicies
| create
| ユーザーがクラスターポリシーを作成しました。 | |
clusterPolicies
| edit
| ユーザーがクラスターポリシーを編集しました。 | |
clusterPolicies
| delete
| ユーザーがクラスターポリシーを削除しました。 | |
clusterPolicies
| changeClusterPolicyAcl
| ワークスペース管理者がクラスターポリシーのアクセス許可を変更します。 |
shardName - targetUserId - resourceId - aclPermissionSet |
Databricks SQL イベント
ワークスペースレベルでログに記録されるdatabrickssqlイベントを次に示します。
従来の エンドポイント を使用して SQLウェアハウスを管理している場合、SQLAPI SQLウェアハウスの監査イベントには異なるアクション名が付けられます。エンドポイント ログSQLを参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
databrickssql
| cancelQueryExecution
| クエリの実行は、SQL エディターの UI からキャンセルされます。 これには、クエリー履歴 UI または Databricks SQL Execution APIから発生したキャンセルは含まれません。 |
queryExecutionId:従来のSQLエディターを使用している場合にのみ出力されます。 - query_id: 新しいSQLエディター を使用した場合にのみ発行されます。 |
databrickssql
| changeEndpointAcls
| ウェアハウス マネージャーは、 SQLウェアハウスのアクセス許可を更新します。 |
aclPermissionSet - resourceId - shardName - targetUserId |
databrickssql
| cloneFolderNode
| ユーザーがワークスペース ブラウザーでフォルダーを複製します。 | |
databrickssql
| commandFinish
| 詳細な監査ログのみ。 SQLウェアハウスのコマンドが完了またはキャンセルされたときに、キャンセル要求の発生元に関係なく生成されます。 | |
databrickssql
| commandSubmit
| 詳細な監査ログのみ。 コマンドが SQLウェアハウスに送信されると、要求の発生元に関係なく生成されます。 |
warehouseId - commandId - validation - commandText - commandParameters |
databrickssql
| createAlert
| ユーザーが 従来のアラートを作成します。 | |
databrickssql
| createQuery
| ユーザーが新しいクエリを作成します。 | |
databrickssql
| createQueryDraft
| ユーザーがクエリの下書きを作成します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| createQuerySnippet
| ユーザーがクエリスニペットを作成します。 | |
databrickssql
| createVisualization
| ユーザーは、SQL エディターを使用して視覚化を生成します。SQLウェアハウスを利用するノートブックのデフォルトの結果テーブルとビジュアライゼーションは除外されます。従来の SQL エディターが使用されている場合にのみ発行されます。 |
queryId - visualizationId |
databrickssql
| createWarehouse
| クラスター作成権限を持つユーザーは、 SQLウェアハウスを作成します。 |
auto_resume - auto_stop_mins - channel - warehouse_type - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides |
databrickssql
| deleteAlert
| ユーザーは、従来のアラート インターフェイスから、または API を使用して 、従来のアラート を削除します。ファイルブラウザのUIからの削除を除外します。 | |
databrickssql
| deleteNotificationDestination
| ワークスペース管理者が通知先を削除します。 |
notificationDestinationId |
databrickssql
| deleteDashboard
| ユーザーは、ダッシュボードインターフェースから、または API を使用してダッシュボードを削除します。 ファイルブラウザのUIによる削除は除外されます。 | |
databrickssql
| deleteDashboardWidget
| ユーザーがダッシュボードウィジェットを削除しました。 | |
databrickssql
| deleteWarehouse
| ウェアハウス マネージャーが SQLウェアハウスを削除します。 | |
databrickssql
| deleteQuery
| ユーザーは、クエリ インターフェイスから、または API を使用してクエリを削除します。 ファイルブラウザのUIによる削除は除外されます。 | |
databrickssql
| deleteQueryDraft
| ユーザーがクエリの下書きを削除します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| deleteQuerySnippet
| ユーザーがクエリ スニペットを削除します。 | |
databrickssql
| deleteVisualization
| ユーザーが SQL エディターでクエリからビジュアライゼーションを削除します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| downloadQueryResult
| ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードは除外されます。 |
fileType - queryId - queryResultId:従来のSQLエディターを使用している場合にのみ出力されます。 - credentialsEmbedded - credentialsEmbeddedId |
databrickssql
| editWarehouse
| ウェアハウス マネージャーは、 SQLウェアハウスを編集します。 |
auto_stop_mins - channel - warehouse_type - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags |
databrickssql
| executeAdhocQuery
| 次のいずれかによって生成されます。 - ユーザーが SQL エディターでクエリの下書きを実行する - クエリは、視覚化された集計から実行されます - ユーザーがダッシュボードを読み込み、基になるクエリを実行する |
dataSourceId:従来のSQLエディターを使用している場合にのみ出力されます。SQLウェアハウス ID に相当します。 - warehouse_id: 新しいSQLエディター を使用した場合にのみ発行されます。 -query_id: 新しいSQLエディター を使用した場合にのみ発行されます。新しい SQL エディターの現在のクエリ テキストに対応し、最初に保存したクエリと同等になる場合があります。 |
databrickssql
| executeSavedQuery
| ユーザーが保存したクエリを実行します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| executeWidgetQuery
| クエリを実行するイベントによって生成され、ダッシュボードパネルが更新されます。 該当するイベントの例には、次のようなものがあります。 - 1 つのパネルの更新 - ダッシュボード全体の更新 - スケジュールされたダッシュボードの実行 - 64,000行を超えるパラメーターまたはフィルターの変更 | |
databrickssql
| favoriteDashboard
| ユーザーがダッシュボードをお気に入りに登録する。 | |
databrickssql
| favoriteQuery
| ユーザーがクエリをお気に入りに登録します。 | |
databrickssql
| forkQuery
| ユーザーがクエリを複製します。 |
originalQueryId - queryId |
databrickssql
| getAlert
| ユーザーが 従来のアラート の詳細ページを開くか、従来のアラート取得 API を呼び出します。 | |
databrickssql
| getQueriesByLookupKeys
| ユーザーは、ルックアップ キーを使用して 1 つ以上のクエリの詳細を取得します。 |
lookup_keys - include_metrics |
databrickssql
| getQuery
| ユーザーは、UI または API を使用してクエリの詳細を取得します。 |
id - queryId - include_metrics - include_plans - include_json_plans |
databrickssql
| listQueries
| ユーザーがクエリ リスト ページを開くか、リスト クエリ API を呼び出します。 |
filter_by - include_metrics - max_results - page_token - order_by |
databrickssql
| moveAlertToTrash
| ユーザーが 従来のアラート をゴミ箱に移動します。 | |
databrickssql
| moveDashboardToTrash
| ユーザーがダッシュボードをゴミ箱に移動します。 | |
databrickssql
| moveQueryToTrash
| ユーザーがクエリをゴミ箱に移動します。 |
queryId - treestoreId: 新しいSQLエディター が使用され、有効な queryId を返すことができない場合にのみ発行されます。 |
databrickssql
| restoreAlert
| ユーザーが 従来のアラート をゴミ箱から復元します。 | |
databrickssql
| restoreDashboard
| ユーザーがごみ箱からダッシュボードを復元します。 | |
databrickssql
| restoreQuery
| ユーザーがごみ箱からクエリを復元します。 | |
databrickssql
| setWarehouseConfig
| ワークスペース管理者は、構成パラメーターやデータ アクセス プロパティなど、ワークスペースの SQLウェアハウス設定を更新します。 |
data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters |
databrickssql
| snapshotDashboard
| ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。 | |
databrickssql
| startWarehouse
| SQLウェアハウスが開始されます。 | |
databrickssql
| stopWarehouse
| ウェアハウス マネージャーは、 SQLウェアハウスを停止します。 autostopped ウェアハウスは除きます。 | |
databrickssql
| transferObjectOwnership
| ワークスペース管理者は、オブジェクト所有権の譲渡 API を通じて、ダッシュボード、クエリ、またはレガシー アラートの所有権をアクティブ ユーザーに譲渡します。UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。 |
newOwner - objectId - objectType |
databrickssql
| unfavoriteDashboard
| ユーザーがダッシュボードをお気に入りから削除します。 | |
databrickssql
| unfavoriteQuery
| ユーザーがお気に入りからクエリを削除します。 | |
databrickssql
| updateAlert
| ユーザーが 従来のアラートを更新します。ownerUserName は、従来のアラートの所有権が API を使用して転送された場合に入力されます。 |
alertId - queryId - ownerUserName |
databrickssql
| updateNotificationDestination
| ワークスペース管理者が通知先を更新します。 |
notificationDestinationId |
databrickssql
| updateDashboardWidget
| ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ウィジェットのサイズまたは配置の変更 - ウィジェット パラメーターの追加または削除 | |
databrickssql
| updateDashboard
| ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ダッシュボード名の変更 - SQLウェアハウスへの変更 - [実行] 設定に変更する | |
databrickssql
| updateFolderNode
| ユーザーがワークスペース ブラウザーでフォルダー ノードを更新します。 | |
databrickssql
| updateOrganizationSetting
| ワークスペース管理者は、ワークスペースの SQL 設定を更新します。 |
has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions - hide_plotly_mode_bar - send_email_on_failed_dashboards - allow_downloads |
databrickssql
| updateQuery
| ユーザーがクエリを更新します。 ownerUserName は、クエリの所有権が API を使用して転送された場合に入力されます。 | |
databrickssql
| updateQueryDraft
| ユーザーがクエリの下書きを更新します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| updateQuerySnippet
| ユーザーがクエリ スニペットを更新します。 | |
databrickssql
| updateVisualization
| ユーザーは、SQL エディターまたはダッシュボードからビジュアライゼーションを更新します。従来の SQL エディターが使用されている場合にのみ発行されます。 | |
databrickssql
| viewAdhocVisualizationQuery
| ユーザーは、視覚化の背後にあるクエリを表示します。 | なし |
Data モニタリング イベント
次の dataMonitoring イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
dataMonitoring
| CreateMonitor
| ユーザーがモニターを作成します。 |
data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log |
dataMonitoring
| UpdateMonitor
| ユーザーがモニターを更新します。 |
data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs |
dataMonitoring
| DeleteMonitor
| ユーザーがモニターを削除します。 | |
dataMonitoring
| RunRefresh
| モニターは、スケジュールまたは手動で更新されます。 | |
DBFS イベント
次の表に、ワークスペース レベルでログに記録された dbfs イベントを示します。
DBFS イベントには、API 呼び出しと運用イベントの 2 種類があります。
DBFS API イベント
次の DBFS 監査イベントは、 DBFS REST API を介して書き込まれた場合にのみログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
dbfs
| addBlock
| ユーザーがストリームにデータのブロックを追加します。 これは、dbfs/create と組み合わせて使用し、データを DBFS にストリームします。 | |
dbfs
| create
| ユーザーはストリームを開いてDBFにファイルを書き込む。 |
path - bufferSize - overwrite |
dbfs
| delete
| ユーザーが DBF からファイルまたはディレクトリを削除します。 | |
dbfs
| mkdirs
| ユーザーが新しい DBFS ディレクトリを作成します。 | |
dbfs
| move
| ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。 |
dst - source_path - src - destination_path |
dbfs
| put
| ユーザーは、マルチパートフォームポストを使用してDBFにファイルをアップロードします。 | |
DBFS 運用イベント
次の DBFS 監査イベントは、コンピュート プレーンで発生します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
dbfs
| mount
| ユーザーは、特定の DBFS ロケーションにマウントポイントを作成します。 | |
dbfs
| unmount
| ユーザーが特定の DBFS ロケーションのマウント ポイントを削除します。 | |
Delta パイプライン イベント
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
deltaPipelines
| changePipelineAcls
| ユーザーがパイプラインのアクセス許可を変更します。 |
shardId - targetUserId - resourceId - aclPermissionSet |
deltaPipelines
| create
| ユーザーが DLT パイプラインを作成します。 |
allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon |
deltaPipelines
| delete
| ユーザーが DLT パイプラインを削除します。 | |
deltaPipelines
| edit
| ユーザーが DLT パイプラインを編集します。 |
allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon |
deltaPipelines
| startUpdate
| ユーザーが DLT パイプラインを再起動します。 |
cause - full_refresh - job_task - pipeline_id |
deltaPipelines
| stop
| ユーザーが DLT パイプラインを停止します。 | |
特徴量ストアのイベント
次の featureStore イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
featureStore
| addConsumer
| コンシューマーが特徴量ストアに追加されます。 |
features - job_run - notebook |
featureStore
| addDataSources
| 特徴量テーブルにデータソースが追加されます。 |
feature_table - paths, tables |
featureStore
| addProducer
| 特徴量テーブルにプロデューサーが追加されます。 |
feature_table - job_run - notebook |
featureStore
| changeFeatureTableAcl
| パーミッションは特徴量テーブルで変更されます。 |
aclPermissionSet - resourceId - shardName - targetUserId |
featureStore
| createFeatureTable
| 特徴量テーブルが作成されます。 |
description - name - partition_keys - primary_keys - timestamp_keys |
featureStore
| createFeatures
| 特徴量テーブルに特徴量が作成されます。 | |
featureStore
| deleteFeatureTable
| 特徴量テーブルが削除されます。 | |
featureStore
| deleteTags
| タグは特徴量テーブルから削除されます。 | |
featureStore
| getConsumers
| ユーザーは、特徴量テーブルでコンシューマーを取得するために呼び出しを行います。 | |
featureStore
| getFeatureTable
| ユーザーが特徴量テーブルを取得するために呼び出しを行います。 | |
featureStore
| getFeatureTablesById
| ユーザーが特徴量テーブル ID を取得するために呼び出しを行います。 | |
featureStore
| getFeatures
| ユーザーは、機能を取得するために呼び出しを行います。 |
feature_table - max_results |
featureStore
| getModelServingMetadata
| ユーザーが呼び出しを行って、モデルサービングメタデータを取得します。 | |
featureStore
| getOnlineStore
| ユーザーが電話をかけてオンラインストアの詳細を取得します。 |
cloud - feature_table - online_table - store_type |
featureStore
| getTags
| ユーザーが呼び出しを行って、特徴量テーブルのタグを取得します。 | |
featureStore
| publishFeatureTable
| 特徴量テーブルを公開しています。 |
cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix |
featureStore
| searchFeatureTables
| ユーザーが特徴量テーブルを検索します。 |
max_results - page_token - text |
featureStore
| setTags
| タグは特徴量テーブルに追加されます。 | |
featureStore
| updateFeatureTable
| 特徴量テーブルを更新しました。 | |
ファイルイベント
次の filesystem イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
filesystem
| filesGet
| ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。 | |
filesystem
| filesPut
| ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。 | |
filesystem
| filesDelete
| ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。 | |
filesystem
| filesHead
| ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。 | |
Genieイベント
次の genie イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
genie
| databricksAccess
| Databricks担当者は、顧客環境にアクセスする権限があります。 |
duration - approver - reason - authType - user |
Git 資格情報イベント
次の gitCredentials イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
gitCredentials
| getGitCredential
| ユーザーは git 資格情報を取得します。 | |
gitCredentials
| listGitCredentials
| ユーザーがすべての git 資格情報を一覧表示する | なし |
gitCredentials
| deleteGitCredential
| ユーザーが git 資格情報を削除します。 | |
gitCredentials
| updateGitCredential
| ユーザーが git 資格情報を更新します。 |
id - git_provider - git_username |
gitCredentials
| createGitCredential
| ユーザーが git 資格情報を作成します。 |
git_provider - git_username |
グローバルinitスクリプトイベント
次の globalInitScripts イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
globalInitScripts
| create
| ワークスペース管理者は、グローバル初期化スクリプトを作成します。 |
name - position - script-SHA256 - enabled |
globalInitScripts
| update
| ワークスペース管理者がグローバル初期化スクリプトを更新します。 |
script_id - name - position - script-SHA256 - enabled |
globalInitScripts
| delete
| ワークスペース管理者がグローバル初期化スクリプトを削除します。 | |
グループイベント
次の groups イベントは、ワークスペース レベルでログに記録されます。 これらのアクションは、レガシー ACL グループに関連しています。 アカウントとワークスペースレベルのグループに関連するアクションについては、 アカウント イベントおよび アカウントレベルのアカウントイベントを参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
groups
| addPrincipalToGroup
| 管理者がユーザーをグループに追加します。 | |
groups
| createGroup
| 管理者がグループを作成します。 | |
groups
| getGroupMembers
| 管理者は、グループ メンバーを表示します。 | |
groups
| getGroups
| 管理者がグループのリストを表示する | なし |
groups
| getInheritedGroups
| 管理者は、継承されたグループを表示します | なし |
groups
| removeGroup
| 管理者がグループを削除した。 | |
IAMロールイベント
次の iamRole イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
iamRole
| changeIamRoleAcl
| ワークスペース管理者が IAMロールの権限を変更します。 |
targetUserId - shardName - resourceId - aclPermissionSet |
インジェストイベント
次の ingestion イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
ingestion
| proxyFileUpload
| ユーザーが Databricks ワークスペースにファイルをアップロードします。 |
x-databricks-content-length-0 - x-databricks-total-files |
インスタンス・プール・イベント
次の instancePools イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
instancePools
| changeInstancePoolAcl
| ユーザーがインスタンス・プールの権限を変更します。 |
shardName - resourceId - targetUserId - aclPermissionSet |
instancePools
| create
| ユーザーがインスタンス・プールを作成します。 |
enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes |
instancePools
| delete
| ユーザーがインスタンス・プールを削除します。 | |
instancePools
| edit
| ユーザーがインスタンス・プールを編集します。 |
instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes |
ジョブイベント
次の jobs イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
jobs
| cancel
| ジョブの実行がキャンセルされます。 | |
jobs
| cancelAllRuns
| ユーザーがジョブのすべての実行をキャンセルします。 | |
jobs
| changeJobAcl
| ユーザーがジョブのアクセス許可を更新します。 |
shardName - aclPermissionSet - resourceId - targetUserId |
jobs
| create
| ユーザーがジョブを作成します。 |
spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as |
jobs
| delete
| ユーザーがジョブを削除します。 | |
jobs
| deleteRun
| ユーザーがジョブ実行を削除します。 | |
jobs
| getRunOutput
| ユーザーが API 呼び出しを行って、実行出力を取得します。 | |
jobs
| repairRun
| ユーザーがジョブの実行を修復します。 |
run_id - latest_repair_id - rerun_tasks |
jobs
| reset
| ジョブがリセットされます。 | |
jobs
| resetJobAcl
| ユーザーがジョブの権限の変更を要求します。 | |
jobs
| runCommand
| 詳細監査ログが有効な場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブックのセルに対応します。 |
jobId - runId - notebookId - executionTime - status - commandId - commandText |
jobs
| runFailed
| ジョブの実行が失敗するか、取り消されます。 |
jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName |
jobs
| runNow
| ユーザーがオンデマンドのジョブ実行をトリガーします。 |
notebook_params - job_id - jar_params - workflow_context |
jobs
| runStart
| 検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクのタイプによって異なります。 一覧表示されているパラメーターに加えて、次のパラメーターを含めることができます。 - dashboardId (SQL ダッシュボード タスクの場合) - filePath (SQL ファイルタスクの場合) - notebookPath (ノートブック タスク用) - mainClassName (Spark JAR タスク用) - pythonFile (Spark JAR タスク用) - projectDirectory (dbt タスクの場合) - commands (dbt タスクの場合) - packageName ( Python wheel タスク用) - entryPoint ( Python wheel タスク用) - pipelineId (パイプラインタスクの場合) - queryIds (SQL クエリタスクの場合) - alertId (SQL アラート タスクの場合) |
taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName |
jobs
| runSucceeded
| ジョブの実行が成功しました。 |
idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName |
jobs
| runTriggered
| ジョブ・スケジュールは、そのスケジュールまたはトリガーに従って自動的にトリガーされます。 |
jobId - jobTriggeredType - runId |
jobs
| sendRunWebhook
| Webhook は、ジョブが開始、完了、または失敗したときに送信されます。 |
orgId - jobId - jobWebhookId - jobWebhookEvent - runId |
jobs
| setTaskValue
| ユーザーがタスクの値を設定します。 | |
jobs
| submitRun
| ユーザーは API を介して 1 回限りの実行を送信します。 |
shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task |
jobs
| update
| ユーザーがジョブの設定を編集します。 |
job_id - fields_to_remove - new_settings - is_from_dlt |
リネージ追跡イベント
次の lineageTracking イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
lineageTracking
| listColumnLineages
| ユーザーは、列のアップストリーム列またはダウンストリーム列のリストにアクセスします。 |
table_name - column_name - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM) |
lineageTracking
| listSecurableLineagesBySecurable
| ユーザーは、セキュリティ保護可能なリソースのアップストリームまたはダウンストリームのセキュリティ保護可能なリソースの一覧にアクセスします。 |
securable_full_name - securable_type - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM) |
lineageTracking
| listEntityLineagesBySecurable
| ユーザーは、セキュリティ保護可能なリソースに書き込んだり読み取ったりするエンティティ (ノートブック、ジョブなど) の一覧にアクセスします。 |
securable_full_name - securable_type - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM) - entity_response_filter: エンティティの種類 (ノートブック、ジョブ、ダッシュボード、パイプライン、クエリ、サービング エンドポイントなど)。 |
lineageTracking
| getColumnLineages
| ユーザーは、テーブルとその列の列リネージを取得します。 | |
lineageTracking
| getTableEntityLineages
| ユーザーは、テーブルのアップストリームとダウンストリームのリネージを取得します。 |
table_name - include_entity_lineage |
lineageTracking
| getJobTableLineages
| ユーザーは、ジョブのアップストリーム テーブルとダウンストリーム テーブル リネージを取得します。 | |
lineageTracking
| getFunctionLineages
| ユーザーは、関数のアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。 | |
lineageTracking
| getModelVersionLineages
| ユーザーは、モデルとそのバージョンのアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。 | |
lineageTracking
| getEntityTableLineages
| ユーザーは、エンティティ (ノートブック、ジョブなど) のアップストリーム テーブルとダウンストリーム テーブルを取得します。 | |
lineageTracking
| getFrequentlyJoinedTables
| ユーザーは、テーブルの頻繁に結合されるテーブルを取得します。 | |
lineageTracking
| getFrequentQueryByTable
| ユーザーは、テーブルに対する頻繁なクエリを取得します。 | |
lineageTracking
| getFrequentUserByTable
| ユーザーは、テーブルの頻繁なユーザーを取得します。 | |
lineageTracking
| getTablePopularityByDate
| ユーザーは、過去 1 か月間のテーブルの人気度 (クエリ数) を取得します。 | |
lineageTracking
| getPopularEntities
| ユーザーは、テーブルの一般的なエンティティ (ノートブック、ジョブなど) を取得します。 |
scope: ワークスペース名またはテーブル名から一般的なエンティティを取得するスコープを指定します。 - table_name |
lineageTracking
| getPopularTables
| ユーザーは、テーブルのリストに対するテーブルの人気情報を取得します。 |
scope: メタストアまたはテーブル リストから一般的なテーブルを取得するスコープを指定します。 - table_name_list |
Marketplace の消費者向けイベント
次の marketplaceConsumer イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
marketplaceConsumer
| getDataProduct
| ユーザーは、Databricks Marketplace を通じてデータ製品にアクセスできます。 |
listing_id - listing_name - share_name - catalog_name - request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列 |
marketplaceConsumer
| requestDataProduct
| ユーザーが、プロバイダーの承認が必要なデータ製品へのアクセスを要求します。 |
listing_id - listing_name - catalog_name - request_context:データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列 |
Marketplace プロバイダー イベント
次の marketplaceProvider イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
marketplaceProvider
| createListing
| メタストア管理者は、プロバイダー プロファイルにリストを作成します。 |
listing: リストに関する詳細の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| updateListing
| メタストア管理者は、プロバイダー プロファイルの一覧を更新します。 |
id - listing: リストに関する詳細の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| deleteListing
| メタストア管理者は、プロバイダー プロファイルの一覧を削除します。 |
id - request_context: プロバイダーのアカウントとメタストアに関する詳細の配列 |
marketplaceProvider
| updateConsumerRequestStatus
| メタストア管理者は、データ製品の要求を承認または拒否します。 |
listing_id - request_id - status - reason - share: 共有に関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| createProviderProfile
| メタストア管理者は、プロバイダー プロファイルを作成します。 |
provider: プロバイダーに関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| updateProviderProfile
| メタストア管理者は、プロバイダー プロファイルを更新します。 |
id - provider: プロバイダーに関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| deleteProviderProfile
| メタストア管理者がプロバイダー プロファイルを削除します。 |
id - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
marketplaceProvider
| uploadFile
| プロバイダーは、プロバイダー プロファイルにファイルをアップロードします。 |
request_context: プロバイダーのアカウントとメタストアに関する情報の配列 - marketplace_file_type - display_name - mime_type - file_parent: ファイルの親の詳細の配列 |
marketplaceProvider
| deleteFile
| プロバイダーは、プロバイダー プロファイルからファイルを削除します。 |
file_id - request_context: プロバイダーのアカウントとメタストアに関する情報の配列 |
ACL イベントを含む MLflow アーティファクト
次の mlflowAcledArtifact イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
mlflowAcledArtifact
| readArtifact
| ユーザーがアーティファクトを読み取るために呼び出しを行います。 |
artifactLocation - experimentId - runId |
mlflowAcledArtifact
| writeArtifact
| ユーザーがアーティファクトへの書き込みを呼び出す。 |
artifactLocation - experimentId - runId |
MLflow エクスペリメントイベント
次の mlflowExperiment イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
mlflowExperiment
| createMlflowExperiment
| ユーザーが MLflow エクスペリメントを作成します。 |
experimentId - path - experimentName |
mlflowExperiment
| deleteMlflowExperiment
| ユーザーが MLflow エクスペリメントを削除します。 |
experimentId - path - experimentName |
mlflowExperiment
| moveMlflowExperiment
| ユーザーが MLflow エクスペリメントを移動します。 |
newPath - experimentId - oldPath |
mlflowExperiment
| restoreMlflowExperiment
| ユーザーが MLflow エクスペリメントを復元します。 |
experimentId - path - experimentName |
mlflowExperiment
| renameMlflowExperiment
| ユーザーが MLflow エクスペリメントの名前を変更します。 |
oldName - newName - experimentId - parentPath |
MLflow モデルレジストリ イベント
次の mlflowModelRegistry イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
modelRegistry
| approveTransitionRequest
| ユーザーがモデル バージョン ステージの移行要求を承認します。 |
name - version - stage - archive_existing_versions |
modelRegistry
| changeRegisteredModelAcl
| ユーザーが登録済みモデルの権限を更新します。 |
registeredModelId - userId |
modelRegistry
| createComment
| ユーザーがモデルバージョンにコメントを投稿します。 | |
modelRegistry
| createModelVersion
| ユーザーがモデルバージョンを作成します。 |
name - source - run_id - tags - run_link |
modelRegistry
| createRegisteredModel
| ユーザーが新しい登録済みモデルを作成する | |
modelRegistry
| createRegistryWebhook
| ユーザーが Model Registry イベントの Webhook を作成します。 |
orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec |
modelRegistry
| createTransitionRequest
| ユーザーがモデル バージョン ステージの移行要求を作成します。 | |
modelRegistry
| deleteComment
| ユーザーがモデルバージョンのコメントを削除します。 | |
modelRegistry
| deleteModelVersion
| ユーザーがモデルバージョンを削除します。 | |
modelRegistry
| deleteModelVersionTag
| ユーザーがモデル バージョン タグを削除します。 | |
modelRegistry
| deleteRegisteredModel
| ユーザーが登録したモデルを削除した場合 | |
modelRegistry
| deleteRegisteredModelTag
| ユーザーが登録したモデルのタグを削除します。 | |
modelRegistry
| deleteRegistryWebhook
| ユーザーが Model Registry Webhook を削除します。 | |
modelRegistry
| deleteTransitionRequest
| ユーザーがモデル バージョン ステージの移行要求を取り消しました。 |
name - version - stage - creator |
modelRegistry
| finishCreateModelVersionAsync
| 非同期モデルのコピーが完了しました。 | |
modelRegistry
| generateBatchInferenceNotebook
| バッチ推論ノートブックは自動生成されます。 |
userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath |
modelRegistry
| generateDltInferenceNotebook
| DLT パイプラインの推論ノートブックは自動生成されます。 |
userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath |
modelRegistry
| getModelVersionDownloadUri
| ユーザーは、モデルバージョンをダウンロードするためのURIを取得します。 | |
modelRegistry
| getModelVersionSignedDownloadUri
| ユーザーは、署名されたモデルバージョンをダウンロードするためのURIを取得します。 | |
modelRegistry
| listModelArtifacts
| ユーザーが呼び出しを行って、モデルのアーティファクトを一覧表示します。 |
name - version - path - page_token |
modelRegistry
| listRegistryWebhooks
| ユーザーが呼び出しを行い、モデル内のすべてのレジストリ Webhook を一覧表示します。 |
orgId - registeredModelId |
modelRegistry
| rejectTransitionRequest
| ユーザーがモデル バージョン ステージの移行要求を拒否しました。 | |
modelRegistry
| renameRegisteredModel
| ユーザーが登録済みモデルの名前を変更する | |
modelRegistry
| setEmailSubscriptionStatus
| ユーザーが登録済みモデルのEメール サブスクリプション ステータスを更新する | |
modelRegistry
| setModelVersionTag
| ユーザーがモデルバージョンタグを設定します。 |
name - version - key - value |
modelRegistry
| setRegisteredModelTag
| ユーザーがモデルバージョンタグを設定します。 | |
modelRegistry
| setUserLevelEmailSubscriptionStatus
| ユーザーは、レジストリ全体の Eメール 通知ステータスを更新します。 |
orgId - userId - subscriptionStatus |
modelRegistry
| testRegistryWebhook
| ユーザーが Model Registry Webhook をテストします。 | |
modelRegistry
| transitionModelVersionStage
| ユーザーは、モデルバージョンに対するすべてのオープンステージの移行リクエストのリストを取得します。 |
name - version - stage - archive_existing_versions |
modelRegistry
| triggerRegistryWebhook
| Model Registry Webhook は、イベントによってトリガーされます。 |
orgId - registeredModelId - events - status |
modelRegistry
| updateComment
| ユーザーがモデルバージョンのコメントに編集を投稿します。 | |
modelRegistry
| updateRegistryWebhook
| ユーザーが Model Registry Webhook を更新します。 | |
モデルサービングイベント
次の serverlessRealTimeInference イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
serverlessRealTimeInference
| changeInferenceEndpointAcl
| ユーザーが推論エンドポイントのアクセス許可を更新します。 |
shardName - targetUserId - resourceId - aclPermissionSet |
serverlessRealTimeInference
| createServingEndpoint
| ユーザーがモデルサービングエンドポイントを作成します。 | |
serverlessRealTimeInference
| deleteServingEndpoint
| ユーザーがモデルサービングエンドポイントを削除します。 | |
serverlessRealTimeInference
| disable
| ユーザーは、登録済みモデルのモデルサービングを無効にします。 | |
serverlessRealTimeInference
| enable
| ユーザーは、登録されたモデルに対してモデルサービングを有効にします。 | |
serverlessRealTimeInference
| getQuerySchemaPreview
| ユーザーは、クエリ スキーマのプレビューを取得するために呼び出しを行います。 | |
serverlessRealTimeInference
| updateServingEndpoint
| ユーザーがモデルサービングエンドポイントを更新します。 |
name - served_models - traffic_config |
serverlessRealTimeInference
| updateInferenceEndpointRateLimits
| ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。 | |
ノートブックのイベント
次の notebook イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
notebook
| attachNotebook
| ノートブックはクラスターにアタッチされます。 新しいSQLエディターがSQLウェアハウスにアタッチされている場合にも発行されます。 |
path - clusterId - notebookId |
notebook
| cloneNotebook
| ユーザーがノートブックをクローンします。 |
notebookId - path - clonedNotebookId - destinationPath |
notebook
| createNotebook
| ノートブックが作成されます。 | |
notebook
| deleteFolder
| ノートブック フォルダーが削除されます。 | |
notebook
| deleteNotebook
| ノートブックが削除されます。 |
notebookId - notebookName - path |
notebook
| detachNotebook
| ノートブックは、クラスターからデタッチされます。 新しい SQL エディターが SQLウェアハウスから切り離されたときにも発行されます。 |
notebookId - clusterId - path |
notebook
| downloadLargeResults
| ユーザーがダウンロードするクエリ結果が大きすぎてノートブックに表示できない。 |
notebookId - notebookFullPath |
notebook
| downloadPreviewResults
| ユーザーがクエリ結果をダウンロードします。 |
notebookId - notebookFullPath |
notebook
| importNotebook
| ユーザーがノートブックをインポートします。 | |
notebook
| moveFolder
| ノートブック フォルダは、ある場所から別の場所に移動します。 |
oldPath - newPath - folderId |
notebook
| moveNotebook
| ノートブックは、ある場所から別の場所に移動されます。 |
newPath - oldPath - notebookId |
notebook
| renameNotebook
| ノートブックの名前が変更されます。 |
newName - oldName - parentPath - notebookId |
notebook
| restoreFolder
| 削除したフォルダが復元されます。 | |
notebook
| restoreNotebook
| 削除したノートブックが復元されます。 |
path - notebookId - notebookName |
notebook
| runCommand
| 詳細監査ログが有効な場合に使用できます。Databricks がノートブックまたは 新しい SQL エディターでコマンドを実行した後に出力されます。コマンドは、ノートブックのセルまたは 新しい SQL エディターのクエリ テキストに対応します。 executionTime は秒単位で測定されます。 |
notebookId - executionTime - status - commandId - commandText - commandLanguage |
notebook
| takeNotebookSnapshot
| ノートブックのスナップショットは、ジョブ サービスまたは mlflow の実行時に取得されます。 | |
Partner Connectイベント
次の partnerHub イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
partnerHub
| createOrReusePartnerConnection
| ワークスペース管理者は、パートナー ソリューションへの接続を設定します。 | |
partnerHub
| deletePartnerConnection
| ワークスペース管理者がパートナー接続を削除します。 | |
partnerHub
| downloadPartnerConnectionFile
| ワークスペース管理者がパートナー接続ファイルをダウンロードします。 | |
partnerHub
| setupResourcesForPartnerConnection
| ワークスペース管理者は、パートナー接続のリソースを設定します。 | |
予測的最適化 イベント
次の predictiveOptimization イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
predictiveOptimization
| PutMetrics
| 予測的最適化によってテーブルとワークロードのメトリクスが更新されると、サービスが最適化操作をよりインテリジェントにスケジュールできるようになるため、記録されます。 |
table_metrics_list - start_time - end_time |
リモート履歴サービスイベント
次の RemoteHistoryService イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
RemoteHistoryService
| addUserGitHubCredentials
| ユーザーがGithubの資格情報を追加 | なし |
RemoteHistoryService
| deleteUserGitHubCredentials
| ユーザーがGithubの資格情報を削除する | なし |
RemoteHistoryService
| updateUserGitHubCredentials
| ユーザーがGithubの資格情報を更新 | なし |
Git フォルダのイベント
次の repos イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
repos
| checkoutBranch
| ユーザーがリポジトリのブランチをチェックアウトします。 | |
repos
| commitAndPush
| ユーザーがコミットしてリポジトリにプッシュします。 |
id - message - files - checkSensitiveToken |
repos
| createRepo
| ユーザーがワークスペースに Repo ジトリを作成する | |
repos
| deleteRepo
| ユーザーがリポジトリを削除します。 | |
repos
| discard
| ユーザーはリポジトリへのコミットを破棄します。 | |
repos
| getRepo
| ユーザーは、1 つのリポジトリに関する情報を取得するために呼び出しを行います。 | |
repos
| listRepos
| ユーザーが呼び出しを行って、管理アクセス許可を持つすべてのリポジトリを取得します。 |
path_prefix - next_page_token |
repos
| pull
| ユーザーがリポジトリから最新のコミットをプルします。 | |
repos
| updateRepo
| ユーザーがリポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。 |
id - branch - tag - git_url - git_provider |
シークレットイベント
次の secrets イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
secrets
| createScope
| ユーザーがシークレットスコープを作成します。 |
scope - initial_manage_principal - scope_backend_type |
secrets
| deleteAcl
| ユーザーがシークレットスコープの ACL を削除します。 | |
secrets
| deleteScope
| ユーザーがシークレットスコープを削除します。 | |
secrets
| deleteSecret
| ユーザーがスコープからシークレットを削除します。 | |
secrets
| getAcl
| ユーザーはシークレットスコープの ACL を取得します。 | |
secrets
| getSecret
| ユーザーがスコープからシークレットを取得します。 | |
secrets
| listAcls
| ユーザーがシークレットスコープの ACL を一覧表示する呼び出しを行います。 | |
secrets
| listScopes
| ユーザーがシークレットスコープをリストするために呼び出しを行う | なし |
secrets
| listSecrets
| ユーザーがスコープ内のシークレットをリストするために呼び出しを行います。 | |
secrets
| putAcl
| ユーザーがシークレットスコープの ACL を変更します。 |
scope - principal - permission |
secrets
| putSecret
| ユーザーがスコープ内のシークレットを追加または編集します。 |
string_value - key - scope |
SQL テーブル・アクセス・イベント
次の sqlPermissions イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
sqlPermissions
| changeSecurableOwner
| ワークスペース管理者またはオブジェクトの所有者は、オブジェクトの所有権を譲渡します。 | |
sqlPermissions
| createSecurable
| ユーザーがセキュリティ保護可能なオブジェクトを作成します。 | |
sqlPermissions
| denyPermission
| オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。 | |
sqlPermissions
| grantPermission
| オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。 | |
sqlPermissions
| removeAllPermissions
| ユーザーがセキュリティ保護可能なオブジェクトを削除します。 | |
sqlPermissions
| renameSecurable
| ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。 | |
sqlPermissions
| requestPermissions
| ユーザーがセキュリティ保護可能なオブジェクトに対する権限を要求します。 | |
sqlPermissions
| revokePermission
| オブジェクト所有者が、セキュリティ保護可能なオブジェクトに対する権限を取り消します。 | |
sqlPermissions
| showPermissions
| セキュリティ保護可能なオブジェクトの権限をユーザーに表示します。 | |
SSH イベント
次の ssh イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
ssh
| login
| SparkドライバーへのSSHのエージェントログイン。 |
containerId - userName - port - publicKey - instanceId |
ssh
| logout
| SparkドライバーからのSSHのエージェントログアウト。 |
userName - containerId - instanceId |
ベクトル検索イベント
次の vectorSearch イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
vectorSearch
| createEndpoint
| ユーザーがベクトル検索エンドポイントを作成します。 | |
vectorSearch
| deleteEndpoint
| ユーザーがベクトル検索エンドポイントを削除します。 | |
vectorSearch
| createVectorIndex
| ユーザーがベクトル検索インデックスを作成します。 |
name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec |
vectorSearch
| deleteVectorIndex
| ユーザーがベクトル検索インデックスを削除します。 |
name - endpoint_name (オプション) - delete_embedding_writeback_table |
vectorSearch
| changeEndpointAcl
| ユーザーがエンドポイントのアクセス制御リストを変更します。 |
name - endpoint_name - access_control_list |
vectorSearch
| queryVectorIndex
| ユーザーはベクトル検索インデックスをクエリします。 |
name - endpoint_name (オプション) |
vectorSearch
| queryVectorIndexNextPage
| ユーザーは、ベクトル検索インデックスクエリのページ分割された結果を読み取ります。 |
name - endpoint_name (オプション) |
vectorSearch
| scanVectorIndex
| ユーザーは、ベクトル検索インデックス内のすべてのデータをスキャンします。 |
name - endpoint_name (オプション) |
vectorSearch
| upsertDataVectorIndex
| ユーザーは、Direct Access ベクトル検索インデックスのデータをアップサートします。 |
name - endpoint_name (オプション) |
vectorSearch
| deleteDataVectorIndex
| ユーザーが Direct Access ベクトル検索インデックスのデータを削除します。 |
name - endpoint_name (オプション) |
vectorSearch
| queryVectorIndexRouteOptimized
| ユーザーは、低レイテンシの API ルートを使用してベクトル検索インデックスをクエリします。 |
name - endpoint_name (オプション) |
vectorSearch
| queryVectorIndexNextPageRouteOptimized
| ユーザーは、低レイテンシの API ルートを使用して、ベクトル検索インデックス クエリのページ分割された結果を読み取ります。 |
name - endpoint_name (オプション) |
vectorSearch
| scanVectorIndexRouteOptimized
| ユーザーは、低遅延の API ルートを使用して、ベクトル検索インデックス内のすべてのデータをスキャンします。 |
name - endpoint_name (オプション) |
vectorSearch
| upsertDataVectorIndexRouteOptimized
| ユーザーは、低遅延の API ルートを使用して、Direct Access ベクトル検索インデックスのデータをアップサートします。 |
name - endpoint_name (オプション) |
vectorSearch
| deleteDataVectorIndexRouteOptimized
| ユーザーは、低遅延の API ルートを使用して Direct Access ベクトル検索インデックスのデータを削除します。 |
name - endpoint_name (オプション) |
Webhook イベント
次の webhookNotifications イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
webhookNotifications
| createWebhook
| 管理者が新しい通知先を作成します。 | |
webhookNotifications
| deleteWebhook
| 管理者が通知先を削除します。 | |
webhookNotifications
| getWebhook
| ユーザーは、UI または API を使用して通知先に関する情報を表示します。 | |
webhookNotifications
| notifyWebhook
| Webhook がトリガーされ、通知ペイロードがターゲット URL に送信されます。 | |
webhookNotifications
| testWebhook
| テストペイロードは Webhook URL に送信され、設定を確認し、通知を正常に受信できることを確認します。 | |
webhookNotifications
| updateWebhook
| 管理者が通知先を更新します。 | |
Webターミナルイベント
次の webTerminal イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
webTerminal
| startSession
| ユーザーがWebターミナルセッションを開始します。 |
socketGUID - clusterId - serverPort - ProxyTargetURI |
webTerminal
| closeSession
| ユーザーがWebターミナルセッションを閉じます。 |
socketGUID - clusterId - serverPort - ProxyTargetURI |
ワークスペースのイベント
次の workspace イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
workspace
| changeWorkspaceAcl
| ワークスペースへのアクセス許可が変更されます。 |
shardName - targetUserId - aclPermissionSet - resourceId |
workspace
| deleteSetting
| 設定がワークスペースから削除されます。 |
settingKeyTypeName - settingKeyName - settingTypeName - settingName |
workspace
| fileCreate
| ユーザーがワークスペースにファイルを作成します。 | |
workspace
| fileDelete
| ユーザーがワークスペース内のファイルを削除します。 | |
workspace
| fileEditorOpenEvent
| ユーザーがファイルエディタを開きます。 | |
workspace
| getRoleAssignment
| ユーザーは、ワークスペースのユーザー ロールを取得します。 |
account_id - workspace_id |
workspace
| mintOAuthAuthorizationCode
| 社内の OAuth 認証コードがワークスペース レベルで作成されるときに記録されます。 | |
workspace
| mintOAuthToken
| OAuth トークンはワークスペースに対して作成されます。 |
grant_type - scope - expires_in - client_id |
workspace
| moveWorkspaceNode
| ワークスペース管理者がワークスペース ノードを移動します。 | |
workspace
| purgeWorkspaceNodes
| ワークスペース管理者は、ワークスペース ノードをパージします。 | |
workspace
| reattachHomeFolder
| 既存のホームフォルダーは、ワークスペースに再追加されたユーザーに対して再アタッチされます。 | |
workspace
| renameWorkspaceNode
| ワークスペース管理者がワークスペース ノードの名前を変更します。 | |
workspace
| unmarkHomeFolder
| ホームフォルダー 特殊属性は、ユーザーがワークスペースから削除されると削除されます。 | |
workspace
| updateRoleAssignment
| ワークスペース管理者は、ワークスペース ユーザーのロールを更新します。 |
account_id - workspace_id - principal_id |
workspace
| updatePermissionAssignment
| ワークスペース管理者がワークスペースにプリンシパルを追加します。 |
principal_id - permissions |
workspace
| setSetting
| ワークスペース管理者は、ワークスペースの設定を構成します。 |
settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
workspace
| workspaceConfEdit
| ワークスペース管理者は、詳細監査ログを有効にするなど、設定を更新します。 |
workspaceConfKeys - workspaceConfValues |
workspace
| workspaceExport
| ユーザーがワークスペースからノートブックをエクスポートします。 |
workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath |
workspace
| workspaceInHouseOAuthClientAuthentication
| OAuth クライアントはワークスペース サービスで認証されます。 | |
Databricks Apps イベント
次の Databricks Apps イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
apps
| createApp
| ユーザーは、アプリのUIまたはAPIを使用してカスタムアプリを作成します。 | |
apps
| installTemplateApp
| ユーザーは、アプリの UI または API を使用してテンプレート アプリをインストールします。 | |
apps
| updateApp
| ユーザーは、アプリの UI または API を使用してアプリを更新します。 | |
apps
| startApp
| ユーザーは、アプリの UI または APIを使用してアプリのコンピュートを起動します。 | |
apps
| stopApp
| ユーザーは、アプリの UI または APIを使用してアプリのコンピュートを停止します。 | |
apps
| deployApp
| ユーザーは、アプリの UI または API を使用してアプリをデプロイします。 | |
apps
| deleteApp
| ユーザーがアプリのUIまたはAPIを使用してアプリを削除します。 | |
apps
| changeAppsAcl
| ユーザーは、アプリの UI または API を使用してアプリのアクセスを更新します。 |
request_object_type - request_object_id - access_control_list |
アカウントアクセス制御イベント
次の accountsAccessControl イベントはアカウント レベルでログに記録され、 アカウントのアクセス制御 API (パブリック プレビュー) に関連しています。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|
accountsAccessControl
| updateRuleSet
| ユーザーは、アカウントアクセス制御 API を使用してルールセットを更新します。 |
account_id - name: ルールセットの名前 - rule_set - authz_identity |
課金利用イベント
次の accountBillableUsage イベントは、アカウントレベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
accountBillableUsage
| getAggregatedUsage
| ユーザーは、Usage Graph機能を通じてアカウントの集計課金利用(Usage per Day)にアクセスしました。 |
account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter |
accountBillableUsage
| getDetailedUsage
| ユーザーは、Usage Download機能を通じて、アカウントの詳細な課金利用(クラスタごとの利用状況)にアクセスしました。 |
account_id - start_month - end_month - with_pii |
アカウントレベルのアカウント イベント
次の accounts イベントは、アカウントレベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
accounts
| accountInHouseOAuthClientAuthentication
| OAuth クライアントが認証されます。 |
endpoint - user: Eメール アドレスとして記録 - authenticationMethod |
accounts
| accountIpAclsValidationFailed
| IP アクセス許可の検証に失敗しました。 statusCode 403 を返します。 |
sourceIpAddress - user: Eメール アドレスとして記録 |
accounts
| activateUser
| ユーザーは非アクティブ化された後に再アクティブ化されます。 「アカウントのユーザーを無効にする」を参照してください。 |
targetUserName - endpoint - targetUserId |
accounts
| add
| ユーザーが Databricks アカウントに追加されます。 |
targetUserName - endpoint - targetUserId |
accounts
| addPrincipalToGroup
| ユーザーがアカウント レベルのグループに追加されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| addPrincipalsToGroup
| ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループに追加されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| createGroup
| アカウント レベルのグループが作成されます。 |
endpoint - targetGroupId - targetGroupName |
accounts
| deactivateUser
| ユーザーが非アクティブ化されました。 「アカウントのユーザーを無効にする」を参照してください。 |
targetUserName - endpoint - targetUserId |
accounts
| delete
| ユーザーが Databricks アカウントから削除されます。 |
targetUserId - targetUserName - endpoint |
accounts
| deleteSetting
| アカウント admin は、 Databricks アカウントから設定を削除します。 |
settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts
| garbageCollectDbToken
| ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash |
accounts
| generateDbToken
| ユーザーは、ユーザー設定から、またはサービスがトークンを生成するときにトークンを生成します。 |
tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts
| login
| ユーザーがアカウントコンソールにログインします。 |
user - authenticationMethod |
accounts
| logout
| ユーザーがアカウントコンソールからログアウトします。 | |
accounts
| mintOAuthAuthorizationCode
| 社内のOAuth認証コードがアカウントレベルで作成されるときに記録されます。 | |
accounts
| mintOAuthToken
| アカウント レベルの OAuth トークンがサービスプリンシパルに発行されます。 |
grant_type - scope - expires_in - client_id |
accounts
| oidcBrowserLogin
| ユーザーは、OpenID Connect ブラウザーワークフローを使用して自分のアカウントにログインします。 | |
accounts
| oidcTokenAuthorization
| OIDC トークンは、アカウント管理者ログインに対して認証されます。 |
user - authenticationMethod |
accounts
| passwordVerifyAuthentication
| ユーザーのパスワードは、アカウントコンソールのログイン時に確認されます。 | |
accounts
| removeAccountAdmin
| アカウント管理者が、他のユーザーからアカウント管理者権限を削除します。 |
targetUserName - endpoint - targetUserId |
accounts
| removeGroup
| アカウントがグループから削除されます。 |
targetGroupId - targetGroupName - endpoint |
accounts
| removePrincipalFromGroup
| ユーザーがアカウント レベルのグループから削除されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| removePrincipalsFromGroup
| ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループから削除されます。 |
targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts
| setAccountAdmin
| アカウント管理者が、アカウント管理者ロールを別のユーザーに割り当てます。 |
targetUserName - endpoint - targetUserId |
accounts
| setSetting
| アカウント管理者がアカウントレベルの設定を更新します。 |
settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts
| tokenLogin
| ユーザーはトークンを使用して Databricks にログインします。 |
tokenId - user - authenticationMethod |
accounts
| updateUser
| アカウント管理者がユーザーアカウントを更新します。 |
targetUserName - endpoint - targetUserId |
accounts
| updateGroup
| アカウント管理者は、アカウントレベルのグループを更新します。 |
endpoint - targetGroupId - targetGroupName |
accounts
| validateEmail
| ユーザーがアカウント作成後にEメールを検証した場合。 |
endpoint - targetUserName - targetUserId |
アカウント管理イベント
次の accountsManager イベントは、アカウントレベルでログに記録されます。 これらのイベントは、アカウント管理者がアカウントコンソールで行った設定に関係しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
accountsManager
| acceptTos
| 管理者は、ワークスペースのサービス利用規約に同意します。 | |
accountsManager
| accountUserResetPassword
| アカウント管理者がユーザーのパスワードをリセットします。 また、リセット後にユーザーがパスワードを変更したかどうかもログに記録します。 |
wasPasswordChanged - serviceSource - targetUserId - userId - newPasswordSource |
accountsManager
| changeAccountOwner
| アカウント オーナーの役割が別のアカウント 管理者に移行されます。 |
account_id - first_name - last_name - email |
accountsManager
| consolidateAccounts
| アカウントは、Databricks によって別のアカウントと統合されました。 |
target_account_id - account_ids_to_consolidate |
accountsManager
| createCredentialsConfiguration
| アカウント管理者が資格情報の設定を作成しました。 | |
accountsManager
| createCustomerManagedKeyConfiguration
| アカウント admin は、顧客管理のキー構成を作成しました。 | |
accountsManager
| createNetworkConfiguration
| アカウント管理者がネットワーク設定を作成しました。 | |
accountsManager
| createNetworkConnectivityConfig
| アカウント管理者がネットワーク接続構成を作成しました。 |
network_connectivity_config - account_id |
accountsManager
| createPrivateAccessSettings
| アカウント管理者が非公開アクセス設定の構成を作成しました。 | |
accountsManager
| createStorageConfiguration
| アカウント管理者がストレージ構成を作成しました。 | |
accountsManager
| createVpcEndpoint
| アカウント管理者が VPC エンドポイント設定を作成しました。 | |
accountsManager
| createWorkspaceConfiguration
| アカウント管理者が新しいワークスペースを作成します。 workspace request パラメーターは、workspace_nameを含む deployment 情報の配列です。workspace_idは response.result パラメーターで確認できます。 | |
accountsManager
| deleteCredentialsConfiguration
| アカウント管理者が資格情報の設定を削除しました。 |
account_id - credentials_id |
accountsManager
| deleteCustomerManagedKeyConfiguration
| アカウント admin が顧客管理キーの設定を削除しました。 |
account_id - customer_managed_key_id |
accountsManager
| deleteNetworkConfiguration
| アカウント管理者がネットワーク設定を削除しました。 | |
accountsManager
| deletePrivateAccessSettings
| アカウント管理者が非公開アクセス設定の構成を削除しました。 |
account_id - private_access_settings_id |
accountsManager
| deleteStorageConfiguration
| アカウント管理者がストレージ設定を削除しました。 |
account_id - storage_configuration_id |
accountsManager
| deleteVpcEndpoint
| アカウント管理者が VPC エンドポイント設定を削除しました。 |
account_id - vpc_endpoint_id |
accountsManager
| deleteWorkspaceConfiguration
| アカウント管理者がワークスペースを削除しました。 |
account_id - workspace_id |
accountsManager
| getCredentialsConfiguration
| アカウント管理者が資格情報の設定に関する詳細を要求します。 |
account_id - credentials_id |
accountsManager
| getCustomerManagedKeyConfiguration
| アカウント admin は、顧客管理キーの構成に関する詳細を要求します。 |
account_id - customer_managed_key_id |
accountsManager
| getNetworkConfiguration
| アカウント管理者がネットワーク設定に関する詳細を要求します。 | |
accountsManager
| getPrivateAccessSettings
| アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。 |
account_id - private_access_settings_id |
accountsManager
| getStorageConfiguration
| アカウント管理者がストレージ構成に関する詳細を要求します。 |
account_id - storage_configuration_id |
accountsManager
| getVpcEndpoint
| アカウント管理者が VPC エンドポイント設定に関する詳細をリクエストします。 |
account_id - vpc_endpoint_id |
accountsManager
| getWorkspaceConfiguration
| アカウント管理者がワークスペースの詳細を要求します。 |
account_id - workspace_id |
accountsManager
| listCredentialsConfigurations
| アカウント admin は、アカウント内のすべての資格情報設定を一覧表示します。 | |
accountsManager
| listCustomerManagedKeyConfigurations
| アカウント admin は、アカウント内のすべての顧客管理キー構成を一覧表示します。 | |
accountsManager
| listNetworkConfigurations
| アカウント admin アカウント内のすべてのネットワーク設定を一覧表示します。 | |
accountsManager
| listPrivateAccessSettings
| アカウント admin アカウント内のすべてのプライベートアクセス設定構成を一覧表示します。 | |
accountsManager
| listStorageConfigurations
| アカウント admin アカウント内のすべてのストレージ構成が一覧表示されます。 | |
accountsManager
| listSubscriptions
| アカウント admin には、すべてのアカウント請求サブスクリプションが一覧表示されます。 | |
accountsManager
| listVpcEndpoints
| アカウント admin VPC アカウントのすべてのエンドポイント設定をリストしました。 | |
accountsManager
| listWorkspaceConfigurations
| アカウント admin アカウント内のすべてのワークスペースが一覧表示されます。 | |
accountsManager
| listWorkspaceEncryptionKeyRecords
| アカウント管理者は、特定のワークスペース内のすべての暗号化キーレコードを一覧表示します。 |
account_id - workspace_id |
accountsManager
| listWorkspaceEncryptionKeyRecordsForAccount
| アカウント admin アカウント内のすべての暗号化キーレコードを一覧表示します。 | |
accountsManager
| sendTos
| Eメール は、 Databricks サービス利用規約に同意するためにワークスペース管理者に送信されました。 |
account_id - workspace_id |
accountsManager
| updateAccount
| アカウントの詳細は内部で変更されました。 | |
accountsManager
| updateSubscription
| アカウントの請求サブスクリプションが更新されました。 |
account_id - subscription_id - subscription |
accountsManager
| updateWorkspaceConfiguration
| 管理者がワークスペースの構成を更新しました。 |
account_id - workspace_id - network_connectivity_config_id |
サーバレス 予算ポリシー イベント
次の budgetPolicyCentral イベントはアカウントレベルでログに記録され、サーバレス 予算ポリシーに関連しています。 「サーバレス 予算ポリシーでの属性の使用」を参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
budgetPolicyCentral
| createBudgetPolicy
| ワークスペース admin または billing admin は、サーバレス 予算ポリシーを作成します。 新しい policy_id は response 列に記録されます。 | |
budgetPolicyCentral
| updateBudgetPolicy
| ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを更新します。 |
policy.policy_id - policy.policy_name |
budgetPolicyCentral
| deleteBudgetPolicy
| ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを削除します。 | |
クリーンルームイベント
次の clean-room イベントは、アカウントレベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
clean-room
| createCleanRoom
| DatabricksアカウントのユーザーがUIまたはAPIを使用して新しいクリーンルームを作成します。 |
clean_room_name - cloud_vendor - collaborators - metastore_id - region - workspace_id |
clean-room
| createCleanRoomAsset
| アカウントのユーザーがクリーンルームアセットを作成します。 | |
clean-room
| createCleanRoomAssetReview
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームアセットのレビューを作成します。現在、レビュー可能なのはノートブックのみです。 |
clean_room_name - asset_full_name - notebook_review - asset_type |
clean-room
| createCleanRoomAutoApprovalRule
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームの自動承認ルールを作成します。応答には、clean_room_events システムテーブルで参照されるrule_idが含まれています。 |
clean_room_name - auto_approval_rule |
clean-room
| createCleanRoomOutputCatalog
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームに出力テーブルを作成します。 |
clean_room_name - output_catalog_name - metastore_id - workspace_id |
clean-room
| deleteCleanRoom
| DatabricksアカウントのユーザーがUIまたはAPIを使用してクリーンルームを削除しました。 |
clean_room_name - metastore_id - workspace_id |
clean-room
| deleteCleanRoomAsset
| アカウントのユーザーがクリーンルームアセットを削除しました。 |
asset_full_name - asset_type - clean_room_name |
clean-room
| deleteCleanRoomAutoApprovalRule
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームの自動承認ルールを削除しました。 |
clean_room_name - rule_id |
clean-room
| getCleanRoom
| アカウントのユーザーは、UIまたは APIを使用してクリーンルームの詳細を取得します。 |
clean_room_name - metastore_id - workspace_id |
clean-room
| getCleanRoomAsset
| アカウント内のユーザーは、UIを使用してクリーンルームのデータアセットの詳細を表示します。 |
asset_full_name - metastore_id - workspace_id - asset_type - clean_room_name - collaborator_global_metastore_id |
clean-room
| listCleanRoomAssets
| ユーザーは、クリーンルーム内のアセットのリストを取得します。 | |
clean-room
| listCleanRoomAutoApprovalRules
| Databricksアカウントのユーザーは、UIまたはAPIを使用して、クリーンルームの自動承認ルールをリストします。 | |
clean-room
| listCleanRoomNotebookTaskRuns
| ユーザーは、クリーンルーム内で実行されるノートブック タスクの一覧を取得します。 |
clean_room_name - notebook_name |
clean-room
| listCleanRooms
| ユーザーは、ワークスペースUIを使用してすべてのクリーンルームのリストを取得するか、 APIを使用してメタストア内のすべてのクリーンルームのリストを取得します。 |
metastore_id - workspace_id |
clean-room
| updateCleanRoom
| アカウントのユーザーがクリーンルームの詳細またはアセットを更新します。 |
added_assets - clean_room_name - owner - metastore_id - workspace_id - updated_assets - removed_assets |
clean-room
| updateCleanRoomAsset
| アカウントのユーザーがクリーンルームアセットを更新しました。 | |
ログ配信イベント
次の logDelivery イベントは、アカウントレベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
logDelivery
| createLogDeliveryConfiguration
| 管理者がログ配信構成を作成しました。 | |
logDelivery
| getLogDeliveryConfiguration
| 管理者がログ配信設定に関する詳細を要求しました。 |
log_delivery_configuration |
logDelivery
| listLogDeliveryConfigurations
| 管理者は、アカウント内のすべてのログ配信設定をリストしました。 |
account_id - storage_configuration_id - credentials_id - status |
logDelivery
| updateLogDeliveryConfiguration
| 管理者がログ配信設定を更新しました。 |
config_id - account_id - status |
Oauth SSO イベント
次の oauth2 イベントはアカウントレベルでログに記録され、アカウントコンソールへの OAuth SSO 認証に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
oauth2
| createCustomAppIntegration
| ワークスペース管理者がカスタムアプリ統合を作成します。 |
redirect_url - name - token_access_policy - confidential |
oauth2
| createPublishedAppIntegration
| ワークスペース管理者は、公開済みのアプリ統合を使用してアプリ統合を作成します。 | |
oauth2
| deleteCustomAppIntegration
| ワークスペース管理者がカスタムアプリ統合を削除しました。 | |
oauth2
| deletePublishedAppIntegration
| ワークスペース管理者が公開済みアプリ統合を削除します。 | |
oauth2
| enrollOAuth
| ワークスペース管理者が OAuth にアカウントを登録します。 |
enable_all_published_apps |
oauth2
| updateCustomAppIntegration
| ワークスペース管理者がカスタムアプリの統合を更新します。 |
redirect_url - name - token_access_policy - confidential |
oauth2
| updatePublishedAppIntegration
| ワークスペース管理者が公開済みアプリの統合を更新します。 | |
サービスプリンシパル 資格情報のイベント (パブリック プレビュー)
次の servicePrincipalCredentials イベントは、アカウントレベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
servicePrincipalCredentials
| create
| アカウント admin は、サービスプリンシパルの OAuth シークレットを生成します。 |
account_id - service_principal - secret_id |
servicePrincipalCredentials
| list
| アカウント admin は OAuth すべてのシークレットをサービスプリンシパルの下に一覧表示します。 |
account_id - service_principal |
servicePrincipalCredentials
| delete
| アカウント admin は、サービスプリンシパルの OAuth シークレットを削除します。 |
account_id - service_principal - secret_id |
シングルサインオンイベント
次の ssoConfigBackend イベントはアカウントレベルでログに記録され、アカウントコンソールの SSO 認証に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
ssoConfigBackend
| create
| アカウント admin は、構成 SSO アカウント コンソールを作成しました。 |
account_id - sso_type - config |
ssoConfigBackend
| get
| アカウント admin は、アカウント コンソール SSO 設定に関する詳細を要求しました。 | |
ssoConfigBackend
| update
| アカウント admin がアカウント コンソール SSO 設定を更新しました。 |
account_id - sso_type - config |
Unity Catalog イベント
次の監査イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスでログに記録されます。 Delta Sharing イベントについては、「 Delta Sharing イベント」を参照してください。 Unity Catalog の監査イベントは、イベントに応じて、ワークスペース レベルまたはアカウント レベルでログに記録できます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
unityCatalog
| createMetastore
| アカウント管理者がメタストアを作成します。 |
name - storage_root - workspace_id - metastore_id |
unityCatalog
| getMetastore
| アカウント管理者がメタストア ID を要求します。 |
id - workspace_id - metastore_id |
unityCatalog
| getMetastoreSummary
| アカウント管理者がメタストアに関する詳細を要求します。 |
workspace_id - metastore_id |
unityCatalog
| listMetastores
| アカウント admin は、アカウント内のすべてのメタストアのリストを要求します。 | |
unityCatalog
| updateMetastore
| アカウント管理者がメタストアを更新します。 |
id - owner - workspace_id - metastore_id |
unityCatalog
| deleteMetastore
| アカウント管理者がメタストアを削除します。 |
id - force - workspace_id - metastore_id |
unityCatalog
| updateMetastoreAssignment
| アカウント管理者は、メタストアのワークスペースの割り当てを更新します。 |
workspace_id - metastore_id - default_catalog_name |
unityCatalog
| createExternalLocation
| アカウント admin は外部ロケーションを作成します。 |
name - skip_validation - url - credential_name - workspace_id - metastore_id |
unityCatalog
| getExternalLocation
| アカウント admin は、外部ロケーションに関する詳細を要求します。 |
name_arg - include_browse - workspace_id - metastore_id |
unityCatalog
| listExternalLocations
| アカウント admin request list of all outsidelocation in an account. |
url - max_results - workspace_id - metastore_id |
unityCatalog
| updateExternalLocation
| アカウント admin が外部ロケーションを更新します。 |
name_arg - owner - workspace_id - metastore_id |
unityCatalog
| deleteExternalLocation
| アカウント admin が外部ロケーションを削除します。 |
name_arg - force - workspace_id - metastore_id |
unityCatalog
| createCatalog
| ユーザーがカタログを作成します。 |
name - comment - workspace_id - metastore_id |
unityCatalog
| deleteCatalog
| ユーザーがカタログを削除します。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| getCatalog
| ユーザーがカタログに関する詳細を要求します。 |
name_arg - dependent - workspace_id - metastore_id |
unityCatalog
| updateCatalog
| ユーザーがカタログを更新します。 |
name_arg - isolation_mode - comment - workspace_id - metastore_id |
unityCatalog
| listCatalog
| ユーザーが呼び出しを行って、メタストア内のすべてのカタログを一覧表示します。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| createSchema
| ユーザーがスキーマを作成します。 |
name - catalog_name - comment - workspace_id - metastore_id |
unityCatalog
| deleteSchema
| ユーザーがスキーマを削除します。 |
full_name_arg - force - workspace_id - metastore_id |
unityCatalog
| getSchema
| ユーザーがスキーマに関する詳細を要求します。 |
full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog
| listSchema
| ユーザーがカタログ内のすべてのスキーマのリストを要求します。 | |
unityCatalog
| updateSchema
| ユーザーがスキーマを更新します。 |
full_name_arg - name - workspace_id - metastore_id - comment |
unityCatalog
| createStagingTable
| |
name - catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog
| createTable
| ユーザーがテーブルを作成します。 request パラメーターは、作成されるテーブルのタイプによって異なります。 |
name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment |
unityCatalog
| deleteTable
| ユーザーがテーブルを削除します。 |
full_name_arg - workspace_id - metastore_id |
unityCatalog
| getTable
| ユーザーがテーブルの詳細を要求します。 |
include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog
| privilegedGetTable
| | |
unityCatalog
| listTables
| ユーザーが呼び出しを行って、スキーマ内のすべてのテーブルをリストします。 |
catalog_name - schema_name - workspace_id - metastore_id - include_browse |
unityCatalog
| listTableSummaries
| ユーザーは、メタストア内のスキーマとカタログのテーブルの要約の配列を取得します。 |
catalog_name - schema_name_pattern - workspace_id - metastore_id |
unityCatalog
| updateTables
| ユーザーがテーブルを更新します。 表示されるリクエスト・パラメータは、テーブル更新のタイプによって異なります。 |
full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id |
unityCatalog
| createStorageCredential
| アカウント管理者がストレージ資格情報を作成します。 クラウドプロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。 |
name - comment - workspace_id - metastore_id |
unityCatalog
| listStorageCredentials
| アカウント admin は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。 |
workspace_id - metastore_id |
unityCatalog
| getStorageCredential
| アカウント管理者がストレージ資格情報に関する詳細を要求します。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| updateStorageCredential
| アカウント管理者がストレージ資格情報を更新します。 |
name_arg - owner - workspace_id - metastore_id |
unityCatalog
| deleteStorageCredential
| アカウント管理者がストレージ資格情報を削除します。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| generateTemporaryTableCredential
| テーブルに一時的な認証情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何をクエリしたかを判断できます。 |
credential_id - credential_type - credential_kind - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id |
unityCatalog
| generateTemporaryPathCredential
| パスに一時的な認証情報が付与されるたびにログに記録されます。 |
url - operation - make_path_only_parent - credential_kind - fallback_enabled - workspace_id - metastore_id |
unityCatalog
| checkPathAccess
| 特定のパスに対してユーザーのアクセス許可がチェックされるたびにログに記録されます。 | |
unityCatalog
| getPermissions
| ユーザーが呼び出しを行って、セキュリティ保護可能なオブジェクトの権限の詳細を取得します。この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 |
securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog
| getEffectivePermissions
| ユーザーは、セキュリティ保護可能なオブジェクトのすべての権限の詳細を取得するために呼び出しを行います。 有効なアクセス許可呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 |
securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog
| updatePermissions
| ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。 |
securable_type - changes - securable_full_name - workspace_id - metastore_id |
unityCatalog
| metadataSnapshot
| ユーザーは、前のテーブル バージョンからメタデータをクエリします。 |
securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog
| metadataAndPermissionsSnapshot
| ユーザーは、前のテーブル バージョンからメタデータとアクセス許可をクエリします。 |
securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog
| updateMetadataSnapshot
| ユーザーが以前のテーブル バージョンからメタデータを更新します。 |
table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id |
unityCatalog
| getForeignCredentials
| ユーザーは、外部キーに関する詳細を取得するために呼び出しを行います。 |
securables - workspace_id - metastore_id |
unityCatalog
| getInformationSchema
| ユーザーが呼び出しを行って、スキーマに関する詳細を取得します。 |
table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id |
unityCatalog
| createConstraint
| ユーザーがテーブルの制約を作成します。 |
full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog
| deleteConstraint
| ユーザーがテーブルの制約を削除します。 |
full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog
| createPipeline
| ユーザーが Unity Catalog パイプラインを作成します。 |
target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id |
unityCatalog
| updatePipeline
| ユーザーが Unity Catalog パイプラインを更新します。 |
id_arg - definition_json - id - workspace_id - metastore_id |
unityCatalog
| getPipeline
| ユーザーが Unity Catalog パイプラインに関する詳細を要求します。 |
id - workspace_id - metastore_id |
unityCatalog
| deletePipeline
| ユーザーが Unity Catalog パイプラインを削除します。 |
id - workspace_id - metastore_id |
unityCatalog
| deleteResourceFailure
| リソースの削除に失敗する | なし |
unityCatalog
| createVolume
| ユーザーが Unity Catalog ボリュームを作成します。 |
name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id |
unityCatalog
| getVolume
| ユーザーは、Unity Catalog ボリュームに関する情報を取得するために呼び出しを行います。 |
volume_full_name - workspace_id - metastore_id |
unityCatalog
| updateVolume
| ユーザーは、Unity Catalog ボリュームのメタデータを ALTER VOLUME または COMMENT ON 呼び出しで更新します。 |
volume_full_name - name - owner - comment - workspace_id - metastore_id |
unityCatalog
| deleteVolume
| ユーザーが Unity Catalog ボリュームを削除します。 |
volume_full_name - workspace_id - metastore_id |
unityCatalog
| listVolumes
| ユーザーは、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得するために呼び出しを行います。 |
catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog
| generateTemporaryVolumeCredential
| 一時的な認証情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行するときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。 |
volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - credential_kind - workspace_id - metastore_id |
unityCatalog
| getTagSecurableAssignments
| セキュリティ保護可能なリソースのタグ割り当てがフェッチされます |
securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog
| getTagSubentityAssignments
| サブエンティティのタグ割り当てがフェッチされます |
securable_type - securable_full_name - workspace_id - metastore_id - subentity_name |
unityCatalog
| UpdateTagSecurableAssignments
| セキュリティ保護可能なリソースのタグ割り当てが更新されました |
securable_type - securable_full_name - workspace_id - metastore_id - changes |
unityCatalog
| UpdateTagSubentityAssignments
| サブエンティティのタグ割り当てが更新される |
securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes |
unityCatalog
| createRegisteredModel
| ユーザーが Unity Catalog 登録モデルを作成します。 |
name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id |
unityCatalog
| getRegisteredModel
| ユーザーが Unity Catalog 登録したモデルの情報を取得するために電話をかけます。 |
full_name_arg - workspace_id - metastore_id |
unityCatalog
| updateRegisteredModel
| ユーザーが Unity Catalog に登録されたモデルのメタデータを更新します。 |
full_name_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog
| deleteRegisteredModel
| ユーザーが Unity Catalog に登録されたモデルを削除します。 |
full_name_arg - workspace_id - metastore_id |
unityCatalog
| listRegisteredModels
| ユーザーは、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ間でモデルを一覧表示するために呼び出しを行います。 |
catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog
| createModelVersion
| ユーザーが Unity Catalog にモデル バージョンを作成します。 |
catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id |
unityCatalog
| finalizeModelVersion
| ユーザーは、モデルバージョンのファイルをその保存場所にアップロードした後、Unity Catalog モデルバージョンを「ファイナライズ」する呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。 |
full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog
| getModelVersion
| ユーザーは、モデル バージョンの詳細を取得するために呼び出しを行います。 |
full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog
| getModelVersionByAlias
| ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。 |
full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id |
unityCatalog
| updateModelVersion
| ユーザーがモデル バージョンのメタデータを更新します。 |
full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog
| deleteModelVersion
| ユーザーがモデルバージョンを削除します。 |
full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog
| listModelVersions
| ユーザーは、登録済みモデル内の Unity Catalog モデルバージョンの一覧を取得するために呼び出しを行います。 |
catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog
| generateTemporaryModelVersionCredential
| 一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンが確定した後) を実行すると生成されます。 このイベントを使用して、モデル バージョンに誰がいつアクセスしたかを判断できます。 |
full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - credential_kind - workspace_id - metastore_id |
unityCatalog
| setRegisteredModelAlias
| ユーザーが Unity Catalog に登録されたモデルにエイリアスを設定します。 |
full_name_arg - alias_arg - version |
unityCatalog
| deleteRegisteredModelAlias
| ユーザーが Unity Catalog 登録モデルのエイリアスを削除します。 |
full_name_arg - alias_arg |
unityCatalog
| getModelVersionByAlias
| ユーザーは、エイリアスによって Unity Catalog モデル バージョンを取得します。 |
full_name_arg - alias_arg |
unityCatalog
| createConnection
| 新しい外部接続が作成されます。 |
name - connection_type - workspace_id - metastore_id |
unityCatalog
| deleteConnection
| 外部接続が削除されました。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| getConnection
| 外部接続が取得されます。 |
name_arg - workspace_id - metastore_id |
unityCatalog
| updateConnection
| 外部接続が更新されます。 |
name_arg - owner - workspace_id - metastore_id |
unityCatalog
| listConnections
| メタストア内の外部接続が一覧表示されます。 |
workspace_id - metastore_id |
unityCatalog
| createFunction
| ユーザーが新しい関数を作成します。 |
function_info - workspace_id - metastore_id |
unityCatalog
| updateFunction
| ユーザーが関数を更新します。 |
full_name_arg - owner - workspace_id - metastore_id |
unityCatalog
| listFunctions
| ユーザーが、特定の親カタログまたはスキーマ内のすべての関数のリストを要求しました。 |
catalog_name - schema_name - include_browse - workspace_id - metastore_id |
unityCatalog
| getFunction
| ユーザーが親カタログまたはスキーマから関数を要求します。 |
full_name_arg - workspace_id - metastore_id |
unityCatalog
| deleteFunction
| ユーザーが親カタログまたはスキーマから関数を要求します。 |
full_name_arg - workspace_id - metastore_id |
unityCatalog
| createShareMarketplaceListingLink
| |
links_infos - metastore_id |
unityCatalog
| deleteShareMarketplaceListingLink
| |
links_infos - metastore_id |
unityCatalog
| generateTemporaryServiceCredential
| Databricks からクラウド サービス アカウントにアクセスするために、一時的な資格情報が生成されます。 |
credential_id - credential_type - credential_kind - workspace_id - metastore_id |
unityCatalog
| UpdateWorkspaceBindings
| メタストア管理者またはオブジェクト所有者は、カタログ、外部ロケーション、またはストレージ資格情報のワークスペース バインディングを更新します。 |
securable_type - securable_full_name - add: バインディングが割り当てられている場合にのみログに記録されます。ワークスペース ID とバインドの種類の一覧が含まれます。 - remove:バインディングが割り当てられていない場合にのみログに記録されます。影響を受けるワークスペースのワークスペース ID が含まれます。 - workspace_id - metastore_id |
Delta Sharing イベント
Delta Sharing イベントは、データ プロバイダーのアカウントに記録されたイベントと、データ受信者のアカウントに記録されたイベントの 2 つのセクションに分かれています。
監査ログを使用して Delta Sharing イベントを監視する方法については、「 データ共有の監査と監視」を参照してください。
Delta Sharing プロバイダー イベント
次の監査ログ イベントは、プロバイダーのアカウントに記録されます。受信者が実行するアクションは、 deltaSharing プレフィックスで始まります。これらの各ログには、共有データを管理するメタストアである request_params.metastore_idと、アクティビティを開始したユーザーの ID である userIdentity.emailも含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
unityCatalog
| deltaSharingListShares
| データ受信者が共有のリストを要求します。 |
options:このリクエストで提供されるページネーションオプション。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingGetShare
| データ受信者が共有に関する詳細を要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListSchemas
| データ受信者は、共有スキーマのリストを要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - options:このリクエストで提供されるページネーションオプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListAllTables
| データ受信者は、すべての共有テーブルのリストを要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListTables
| データ受信者は、共有テーブルのリストを要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - options:このリクエストで提供されるページネーションオプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingGetTableMetadata
| データ受信者は、テーブルのメタデータに関する詳細をリクエストします。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - predicateHints:クエリに含まれる述語。 - limitHints:返す最大行数。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingGetTableVersion
| データ受信者は、テーブルバージョンに関する詳細を要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingQueryTable
| データ受信者が共有テーブルをクエリしたときにログに記録されます。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - predicateHints:クエリに含まれる述語。 - limitHints:返す最大行数。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingQueryTableChanges
| データ受信者がテーブルのデータを変更したときにログに記録されます。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - cdf_options: チェンジデータフィード オプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingQueriedTable
| データ受信者がクエリに対する応答を受け取った後にログに記録されます。response.result フィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照) |
recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingQueriedTableChanges
| データ受信者がクエリに対する応答を受け取った後にログに記録されます。response.result フィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照)。 |
recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListNotebookFiles
| データ受信者は、共有ノートブック ファイルの一覧を要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingQueryNotebookFile
| データ受信者は、共有ノートブック ファイルをクエリします。 |
file_name: ノートブックファイルの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListFunctions
| データ受信者は、親スキーマ内の関数のリストを要求します。 |
share: 共有の名前。 - schema:関数の親スキーマの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListAllFunctions
| データ受信者は、すべての共有機能のリストを要求します。 |
share: 共有の名前。 - schema:関数の親スキーマの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListFunctionVersions
| データ受信者は、機能バージョンの一覧を要求します。 |
share: 共有の名前。 - schema:関数の親スキーマの名前。 - function: 関数の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListVolumes
| データ受信者は、スキーマ内の共有ボリュームのリストを要求します。 |
share: 共有の名前。 - schema: ボリュームの親スキーマ。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| deltaSharingListAllVolumes
| データ受信者がすべての共有ボリュームを要求します。 |
share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| updateMetastore
| プロバイダーはメタストアを更新します。 |
delta_sharing_scope:値は INTERNAL または INTERNAL_AND_EXTERNALです。 - delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合は、受信者トークンの有効期間が更新されたことを示します。 |
unityCatalog
| createRecipient
| プロバイダーは、データ受信者を作成します。 |
name: 受信者の名前。 - comment: 受信者のコメント。 - ip_access_list.allowed_ip_addresses: 受信者の IP アドレスの許可リスト。 |
unityCatalog
| deleteRecipient
| プロバイダーはデータ受信者を削除します。 | |
unityCatalog
| getRecipient
| プロバイダーは、データ受信者に関する詳細を要求します。 | |
unityCatalog
| listRecipients
| プロバイダーは、すべてのデータ受信者の一覧を要求します。 | なし |
unityCatalog
| rotateRecipientToken
| プロバイダーは、受信者のトークンをローテーションします。 |
name: 受信者の名前。 - comment: rotation コマンドで指定したコメント。 |
unityCatalog
| updateRecipient
| プロバイダーは、データ受信者の属性を更新します。 |
name: 受信者の名前。 - updates:共有に追加または削除された受信者属性のJSON表現。 |
unityCatalog
| createShare
| プロバイダーは、データ受信者の属性を更新します。 |
name: 共有の名前。 - comment: 共有のコメント。 |
unityCatalog
| deleteShare
| プロバイダーは、データ受信者の属性を更新します。 | |
unityCatalog
| getShare
| プロバイダーが共有に関する詳細を要求します。 |
name: 共有の名前。 - include_shared_objects: 共有のテーブル名がリクエストに含まれていたかどうか。 |
unityCatalog
| updateShare
| プロバイダーは、共有にデータ資産を追加または削除します。 |
name: 共有の名前。 - updates:共有に追加または削除されたデータアセットのJSON表現。 各項目には、 action (追加または削除)、 name (テーブルの実際の名前)、 shared_as (アセットが共有された名前 (実際の名前と異なる場合)、 partition_specification (パーティション仕様が指定されている場合) が含まれます。 |
unityCatalog
| listShares
| プロバイダーは、共有の一覧を要求します。 | なし |
unityCatalog
| getSharePermissions
| プロバイダーは、共有のアクセス許可の詳細を要求します。 | |
unityCatalog
| updateSharePermissions
| プロバイダーは、共有のアクセス許可を更新します。 |
name: 共有の名前。 - changes:更新された権限のJSON表現。 各変更には、 principal (アクセス許可が付与または取り消されたユーザーまたはグループ)、 add (付与されたアクセス許可の一覧)、 remove (取り消されたアクセス許可の一覧) が含まれます。 |
unityCatalog
| getRecipientSharePermissions
| プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。 | |
unityCatalog
| getActivationUrlInfo
| プロバイダーは、アクティブ化リンクでアクティビティの詳細を要求します。 |
recipient_name:アクティベーションURLを開いた受信者の名前。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合は、要求が拒否されたかどうか true 、要求が拒否されなかった場合は false します。 sourceIPaddress は受信者の IP アドレスです。 |
unityCatalog
| generateTemporaryVolumeCredential
| 受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
share_name:受信者が要求する共有の名前。 - share_id: 共有の ID。 - share_owner: 株式の所有者。 - recipient_name:資格情報を要求する受信者の名前。 - recipient_id: 受信者の ID。 - volume_full_name: ボリュームの完全な 3 レベルの名前。 - volume_id:ボリュームの ID。 - volume_storage_location: ボリュームルートのクラウドパス。 - operation: READ_VOLUME または WRITE_VOLUME。 ボリューム共有の場合、 READ_VOLUME のみがサポートされています。 - credential_id:資格情報の ID。 - credential_type: 資格情報のタイプ。 値は StorageCredential または ServiceCredentialです。 - credential_kind:アクセスの認証に使用する方法。 - workspace_id:要求が共有ボリュームに対するものである場合、値は常に 0 されます。 |
unityCatalog
| generateTemporaryTableCredential
| 受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
share_name:受信者が要求する共有の名前。 - share_id: 共有の ID。 - share_owner: 株式の所有者。 - recipient_name:資格情報を要求する受信者の名前。 - recipient_id: 受信者の ID。 - table_full_name: テーブルの完全な 3 レベルの名前。 - table_id: テーブルの ID。 - table_url: テーブルルートのクラウドパス。 - operation: READ または READ_WRITE。 - credential_id:資格情報の ID。 - credential_type: 資格情報のタイプ。 値は StorageCredential または ServiceCredentialです。 - credential_kind:アクセスの認証に使用する方法。 - workspace_id: 共有テーブルに対する要求の場合、値は常に 0 されます。 |
Delta Sharing 受信者イベント
次のイベントがデータ受信者のアカウントに記録されます。これらのイベントは、共有データと AI アセットの受信者アクセスと、プロバイダーの管理に関連付けられたイベントを記録します。これらの各イベントには、次の要求パラメーターも含まれます。
recipient_name: データプロバイダのシステム内の受信者の名前。metastore_id: データ プロバイダのシステム内のメタストアの名前。sourceIPAddress: 要求の発信元の IP アドレス。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
unityCatalog
| deltaSharingProxyGetTableVersion
| データ受信者は、共有テーブルバージョンの詳細を要求します。 |
share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 |
unityCatalog
| deltaSharingProxyGetTableMetadata
| データ受信者は、共有テーブルのメタデータの詳細を要求します。 |
share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 |
unityCatalog
| deltaSharingProxyQueryTable
| データ受信者は、共有テーブルをクエリします。 |
share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 - limitHints:返す最大行数。 - predicateHints:クエリに含まれる述語。 - version: テーブルバージョン(チェンジデータフィードが有効な場合) |
unityCatalog
| deltaSharingProxyQueryTableChanges
| データ受信者は、テーブルの変更データをクエリします。 |
share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 - cdf_options: チェンジデータフィード オプション。 |
unityCatalog
| createProvider
| データ受信者は、プロバイダー オブジェクトを作成します。 |
name: プロバイダーの名前。 - comment: プロバイダーのコメント。 |
unityCatalog
| updateProvider
| データ受信者は、プロバイダー オブジェクトを更新します。 |
name: プロバイダーの名前。 - updates:共有に追加または削除されたプロバイダー属性のJSON表現。 各項目には action (追加または削除) が含まれ、 name (新しいプロバイダー名)、 owner (新しい所有者)、 commentを含めることができます。 |
unityCatalog
| deleteProvider
| データ受信者がプロバイダー オブジェクトを削除します。 | |
unityCatalog
| getProvider
| データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。 | |
unityCatalog
| listProviders
| データ受信者は、プロバイダーの一覧を要求します。 | なし |
unityCatalog
| activateProvider
| データ受信者は、プロバイダー オブジェクトをアクティブ化します。 | |
unityCatalog
| listProviderShares
| データ受信者は、プロバイダーの共有の一覧を要求します。 | |
追加のセキュリティモニタリングイベント
Databricksクラシック コンピュートプレーン 内の コンピュート リソース (VM for クラスターや Pro または クラシックSQL ウェアハウスなど) では、次の機能によって追加のモニタリング エージェントが有効になります。
サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 Classic と サーバレス コンピュートのサポートおよびコンプライアンス標準とサーバレス コンピュートの可用性を参照してください。
File integrity モニタリングイベント
次の capsule8-alerts-dataplane イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
capsule8-alerts-dataplane
| Heartbeat
| モニターがオンになっていることを確認するための定期的なイベント。 現在、10 分ごとに実行されています。 | |
capsule8-alerts-dataplane
| Memory Marked Executable
| 多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 | |
capsule8-alerts-dataplane
| File Integrity Monitor
| 重要なシステムファイルの整合性を監視します。 これらのファイルに対する不正な変更に関するアラート。 Databricks はイメージ上の特定のシステム パスのセットを定義し、このパスのセットは時間の経過と共に変化する可能性があります。 | |
capsule8-alerts-dataplane
| Systemd Unit File Modified
| systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 systemdユニットファイルがsystemctl以外のプログラムによって変更されるたびにアラート . | |
capsule8-alerts-dataplane
| Repeated Program Crashes
| プログラムがクラッシュすることが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、または影響を受けるアプリケーションに安定性の問題が存在することを示している可能性があります。 個々のプログラムの 5 つ以上のインスタンスがセグメンテーション フォールトによってクラッシュした場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Userfaultfd Usage
| 通常、コンテナーは静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されると、アラートが発生します。 | |
capsule8-alerts-dataplane
| New File Executed in Container
| 多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 | |
capsule8-alerts-dataplane
| Suspicious Interactive Shell
| インタラクティブシェルは、現代の本番運用インフラストラクチャではめったに発生しません。 逆シェルで一般的に使用される引数を使用して対話型シェルが開始された場合のアラート。 | |
capsule8-alerts-dataplane
| User Command Logging Evasion
| コマンドログの回避は、攻撃者にとって一般的な方法ですが、正当なユーザーが不正なアクションを実行しているか、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザー・コマンド履歴ログの変更が検出された場合、ユーザーがコマンド・ログを回避しようとしていることを示すアラート。 | |
capsule8-alerts-dataplane
| BPF Program Executed
| 一部の種類のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を獲得し、検出を回避するために BPF ベースのルートキットを読み込んでいることを示している可能性があります。 プロセスが新しい特権 BPF プログラムをロードしたときにアラートを生成します (そのプロセスがすでに進行中のインシデントの一部である場合)。 | |
capsule8-alerts-dataplane
| Kernel Module Loaded
| 攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして、検出を回避し、侵害されたノードで永続性を維持します。 カーネルモジュールがロードされたとき、プログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Suspicious Program Name Executed-Space After File
| 攻撃者は、正当なシステムプログラムまたはサービスになりすまそうとして、悪意のあるバイナリを作成したり、名前の末尾にスペースを含めたりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行した場合のアラート。 | |
capsule8-alerts-dataplane
| Illegal Elevation Of Privileges
| カーネル権限昇格の悪用は、通常、権限のないユーザーが権限変更のための標準ゲートを通過せずにルート権限を取得できるようにします。 プログラムが通常とは異なる手段で特権を昇格させようとした場合にアラートを生成します。 これにより、ワークロードが大きいノードで誤検出アラートが発行される可能性があります。 | |
capsule8-alerts-dataplane
| Kernel Exploit
| 内部カーネル関数は通常のプログラムからアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを示す強力な指標となります。 カーネル関数が予期せずユーザー空間に戻ったときにアラートを出します。 | |
capsule8-alerts-dataplane
| Processor-Level Protections Disabled
| SMEP と SMAP は、カーネルのエクスプロイトが成功するのを難しくするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル エクスプロイトの一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんした場合にアラートを生成します。 | |
capsule8-alerts-dataplane
| Container Escape via Kernel Exploitation
| コンテナエスケープエクスプロイトで一般的に使用されるカーネル関数をプログラムが使用している場合にアラートを発し、攻撃者がコンテナアクセスからノードアクセスに権限を昇格させていることを示します。 | |
capsule8-alerts-dataplane
| Privileged Container Launched
| 特権コンテナはホストリソースに直接アクセスできるため、侵害された場合の影響は大きくなります。特権コンテナが起動されたとき、コンテナが既知の特権イメージ kube-proxy でない場合にアラートを生成します。これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。 | |
capsule8-alerts-dataplane
| Userland Container Escape
| 多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナで作成されたファイルがコンテナの外部から実行されたときにアラートを出します。 | |
capsule8-alerts-dataplane
| AppArmor Disabled In Kernel
| 特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、カーネル エクスプロイトまたはルートキットによって AppArmor が無効にされたことを示します。 センサーの起動時に検出されたAppArmor構成からAppArmorの状態が変更されたときにアラートを発します。 | |
capsule8-alerts-dataplane
| AppArmor Profile Modified
| 攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 AppArmor プロファイルを変更するコマンドが実行されたとき (SSH セッションでユーザーによって実行されていない場合) にアラートを出します。 | |
capsule8-alerts-dataplane
| Boot Files Modified
| 信頼できるソース (パッケージマネージャーや設定管理ツールなど) によって実行されない場合、ブートファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更したことを示している可能性があります。 /bootのファイルに変更が加えられたとき、新しいカーネルまたはブート設定のインストールを示すアラート。 | |
capsule8-alerts-dataplane
| Log Files Deleted
| ログ管理ツールによって実行されていないログの削除は、攻撃者が侵害の兆候を削除しようとしていることを示している可能性があります。 システム・ログ・ファイルの削除に関するアラート。 | |
capsule8-alerts-dataplane
| New File Executed
| システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルエクスプロイト、またはエクスプロイトチェーンの一部である可能性があります。 30 分以内に作成または変更されたファイルが実行された場合、システム更新プログラムによって作成されたファイルは除外されます。 | |
capsule8-alerts-dataplane
| Root Certificate Store Modified
| ルート証明書ストアを変更すると、不正な認証局がインストールされ、ネットワーク トラフィックの傍受やコード署名の検証のバイパスが可能になります。 システム CA 証明書ストアが変更されたときにアラートを生成します。 | |
capsule8-alerts-dataplane
| Setuid/Setgid Bit Set On File
| setuid/setgidビットを設定すると、ノードでの権限昇格の永続的な方法を提供できます。chmod ファミリのシステムコールを含むファイルに setuid ビットまたは setgid ビットが設定されている場合にアラートを発します。
| |
capsule8-alerts-dataplane
| Hidden File Created
| 攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられたプロセスによって隠しファイルが作成されたときにアラートを生成します。 | |
capsule8-alerts-dataplane
| Modification Of Common System Utilities
| 攻撃者は、システムユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システムユーティリティを変更する可能性があります。 一般的なシステム・ユーティリティーが無許可のプロセスによって変更された場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Network Service Scanner Executed
| 攻撃者や不正なユーザーは、これらのプログラムを使用またはインストールして、接続されたネットワークを調査し、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラート。 | |
capsule8-alerts-dataplane
| Network Service Created
| 攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワークサービスを開始する可能性があります。 プログラムが新しいネットワーク サービスを開始したときにアラート (プログラムがすでに進行中のインシデントの一部である場合)。 | |
capsule8-alerts-dataplane
| Network Sniffing Program Executed
| 攻撃者や不正なユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたときにアラートを発します。 | |
capsule8-alerts-dataplane
| Remote File Copy Detected
| ファイル転送ツールを使用すると、攻撃者がツールセットを追加のホストに移動したり、データをリモートシステムに流出させたりしようとしていることを示している可能性があります。 リモート・ファイル・コピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。 | |
capsule8-alerts-dataplane
| Unusual Outbound Connection Detected
| コマンド & Control チャンネルとクリプトコインマイナーは、多くの場合、異常なポートで新しいアウトバウンドネットワーク接続を作成します。 プログラムが一般的でないポートで新しい接続を開始したときにアラート (プログラムが既に進行中のインシデントの一部である場合)。 | |
capsule8-alerts-dataplane
| Data Archived Via Program
| 攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出するデータのサイズを縮小する可能性があります。 データ圧縮プログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Process Injection
| プロセス挿入手法の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示している場合もあります。 プログラムが ptrace (デバッグ) メカニズムを使用して別のプロセスと対話する場合にアラート。 | |
capsule8-alerts-dataplane
| Account Enumeration Via Program
| 攻撃者は、多くの場合、アカウント列挙プログラムを使用して、アクセスレベルを判断し、他のユーザーが現在ノードにログインしているかどうかを確認します。 アカウント列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを生成します。 | |
capsule8-alerts-dataplane
| File and Directory Discovery Via Program
| ファイルシステムの探索は、攻撃者が関心のある資格情報とデータを探している一般的なエクスプロイト後の動作です。 ファイルおよびディレクトリの列挙に関連付けられたプログラムが実行されたとき (そのプログラムが既に進行中のインシデントの一部である場合に)、アラートを生成します。 | |
capsule8-alerts-dataplane
| Network Configuration Enumeration Via Program
| 攻撃者は、ローカルネットワークとルーティング情報を調査して、ラテラルムーブメントに先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Process Enumeration Via Program
| 攻撃者は、ノードの目的や、セキュリティツールや監視ツールが配置されているかどうかを特定するために、実行中のプログラムをリストアップすることがよくあります。 プロセス列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 | |
capsule8-alerts-dataplane
| System Information Enumeration Via Program
| 攻撃者は通常、システム列挙コマンドを実行して、Linuxカーネルとディストリビューションのバージョンと機能を特定し、多くの場合、ノードが特定の脆弱性の影響を受けているかどうかを特定します。 システム情報の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Scheduled Tasks Modified Via Program
| スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 crontab、 at、または batch コマンドを使用してスケジュールされたタスク設定を変更した場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Systemctl Usage Detected
| systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 systemctlコマンドを使用してsystemdユニットを変更したときにアラートを出します。 | |
capsule8-alerts-dataplane
| User Execution Of su Command
| root ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける能力が低下します。 suコマンドが実行されたときにアラートを出します。 | |
capsule8-alerts-dataplane
| User Execution Of sudo Command
| sudoコマンドが実行されたときにアラートを出します。
| |
capsule8-alerts-dataplane
| User Command History Cleared
| 履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。 | |
capsule8-alerts-dataplane
| New System User Added
| 攻撃者は、信頼性の高いアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 新しいユーザー・エンティティがローカル・アカウント管理ファイル・ /etc/passwdに追加された場合に、そのエンティティがシステム更新プログラムによって追加されていない場合にアラートを出します。 | |
capsule8-alerts-dataplane
| Password Database Modification
| 攻撃者は、ID 関連のファイルを直接変更して、システムに新しいユーザーを追加する可能性があります。 アラート : ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新に関係のないプログラムによって変更された場合。 | |
capsule8-alerts-dataplane
| SSH Authorized Keys Modification
| 新しいSSH公開鍵を追加することは、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。ユーザーの SSH authorized_keys ファイルへの書き込みが試行された場合、プログラムが既に進行中のインシデントの一部である場合にアラート。 | |
capsule8-alerts-dataplane
| User Account Created Via CLI
| 新しいユーザーを追加することは、攻撃者が侵害されたノードで永続性を確立する際の一般的な手順です。 ID 管理プログラムがパッケージ・マネージャー以外のプログラムによって実行される場合にアラートを出します。 | |
capsule8-alerts-dataplane
| User Configuration Changes
| 履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。 | |
capsule8-alerts-dataplane
| New System User Added
| ユーザープロファイルと設定ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として変更されることがよくあります。 .bash_profile と bashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更された場合のアラート。 | |
ウイルス対策モニタリング イベント
これらの監査ログの response JSON オブジェクトには、常に元のスキャン結果の 1 行を含む result フィールドがあります。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ・レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。
次の clamAVScanService-dataplane イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
clamAVScanService-dataplane
| clamAVScanAction
| アンチウイルス モニタリングはスキャンを実行します。 元のスキャン出力の各行に対してログが生成されます。 | |
システムログイベント
監査ログ内の response JSON オブジェクトには、元のシステムログの内容を含む result フィールドがあります。
次の syslog イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
syslog
| processEvent
| システム・ログはイベントを処理します。 | |
プロセス・モニター・ログ・イベント
次の monit イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|
monit
| processNotRunning
| モニタは動作していません。 | |
monit
| processRestarting
| モニタが再起動しています。 | |
monit
| processStarted
| モニターが起動。 | |
monit
| processRunning
| モニターは実行中です。 | |
非推奨のログイベント
Databricks では、次の databrickssql 監査イベントが非推奨になりました。
createAlertDestination (現在 createNotificationDestination)deleteAlertDestination (現在 deleteNotificationDestination)updateAlertDestination (現在 updateNotificationDestination)muteAlertunmuteAlert
SQLエンドポイント ログ
SQLSQL非推奨の エンドポイントAPI ( ウェアハウスの旧称) を使用して ウェアハウスを作成した場合、対応する監査イベント名にはSQL Endpoint``Warehouse[] ではなく [] という単語が含まれます。名前以外は、これらのイベントは SQLウェアハウス イベントと同じです。 これらのイベントの説明と要求パラメーターを表示するには、「 Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。
SQLエンドポイント イベントは次のとおりです。
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig