監査ログの参照

注記

この機能を使用するには、プレミアムプラン以上が必要です。

この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。

アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、 システムテーブル (パブリック プレビュー) を使用することです。

定期的なログ配信を設定する場合は、「 監査ログ配信の設定」をご覧ください。

監査ログサービス

次のサービスとそのイベントは、デフォルトで監査ログに記録されます。

ワークスペースレベルのサービス

ワークスペースレベルの監査ログは、次のサービスで使用できます。

サービス名	説明
accounts	アカウント、ユーザー、グループ、IPアクセスリストに関連するイベント。
aibiGenie	AI/BI Genieスペースに関連するイベント .
clusterPolicies	クラスターポリシーに関連するイベント。
clusters	クラスターに関連するイベント。
ダッシュボード	AI/BI dashboardの使用に関連するイベント。
databrickssql	Databricks SQLの使用に関連するイベント。
dataMonitoring	レイクハウスモニタリングに関連するイベント。
dbfs	DBFS に関連するイベント。
deltaPipelines	DLT パイプラインに関連するイベント。
featureStore	Databricks Feature Store に関連するイベント。
filesystem	ファイル管理に関連するイベント (Files API を使用したファイル操作やボリューム UI でのファイルの操作など)。
genie	サポート担当者によるワークスペースへのアクセスに関連するイベント。
gitCredentials	Databricks Git フォルダーの Git 資格情報に関連するイベント。reposも参照してください。
globalInitScripts	グローバルinitスクリプトに関連するイベント。
groups	アカウントとワークスペースグループに関連するイベント。
iamRole	IAMロールの権限に関連するイベント。
取り込み	ファイルのアップロードに関連するイベント。
instancePools	プールに関連するイベント。
jobs	ジョブに関連するイベント。
リネージトラッキング	データリネージに関連するイベントです。
marketplaceConsumer	Databricks Marketplace でのコンシューマー アクションに関連するイベント。
marketplaceProvider	Databricks Marketplace のプロバイダー アクションに関連するイベント。
mlflowAcledArtifact	ACLを使用したMLフローアーティファクトに関連するイベント。
MLflow エクスペリメント	MLフローエクスペリメントに関連するイベント。
modelRegistry	ワークスペース モデルレジストリに関連するイベント。 Unity Catalog のモデルのアクティビティ ログについては、「 Unity Catalog イベント」を参照してください。
ノートブック	ノートブックに関連するイベント。
Partner Connect	Partner Connectに関連するイベント。
予測的最適化	予測的最適化に関連するイベント。
remoteHistoryService	GitHub 資格情報の追加と削除に関連するイベント。
repos	Databricks Git フォルダーに関連するイベント。gitCredentialsも参照してください。
secrets	シークレットに関連するイベント。
serverlessRealTimeInference	モデルサービングに関連するイベントです。
sqlPermissions	レガシー Hive metastore テーブルアクセスコントロールに関連するイベント。
ssh	SSHアクセスに関連するイベント。
ベクトル検索	Mosaic AI Vector Searchに関連するイベントです。
webTerminal	Webターミナル機能に関連するイベントです。
workspace	ワークスペースに関連するイベント。

アカウントレベルのサービス

アカウントレベルの監査ログは、次のサービスで使用できます。

サービス名	説明
accountsAccessControl	アカウントアクセス制御APIに関連するアクション。
accountBillableUsage	アカウントコンソールでの請求対象使用量アクセスに関連するアクション。
accounts	アカウントレベルのアクセスとID管理に関連するアクション。
accountsManager	アカウントコンソールで実行されたアクション。
budgetPolicyCentral(バジェットポリシーセントラル)	サーバレス 予算ポリシーの管理に関連するアクション。
クリーンルーム	クリーンルームに関するアクション
logDelivery	請求対象使用量や監査ログなどのログ配信設定。
oauth2	アカウントコンソールへのOAuth SSO認証に関連するアクション。
servicePrincipalCredentials	サービスプリンシパルの資格情報に関連するアクション。
ssoConfigBackend	アカウントのシングルサインオン設定。
unityCatalog	Unity Catalog で実行されるアクション。 これには、Delta Sharing イベントも含まれます ( 「Delta Sharing イベント」を参照してください)。

追加のセキュリティ モニタリング サービス

コンプライアンス セキュリティ プロファイル (HIPPA などの一部のコンプライアンス標準に必要) または拡張セキュリティ モニタリングを使用するワークスペースには、追加のサービスおよび関連アクションがあります。

これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されるワークスペース レベルのサービスです。

サービス名	説明
capsule8-alerts-dataplane	ファイル整合性の監視に関連するアクション。
clamAVScanService-データプレーン	ウイルス対策モニタリングに関連するアクション。
monit	プロセス・モニターに関連するアクション。
syslog	システム・ログに関連するアクション。

監査ログの例のスキーマ

Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceNameプロパティとactionNameプロパティで識別されます。命名規則はDatabricks REST APIに従います。

次の例は、createMetastoreAssignmentイベントのものです。

JSON

{
  "version": "2.0",
  "auditLevel": "ACCOUNT_LEVEL",
  "timestamp": 1629775584891,
  "orgId": "3049056262456431186970",
  "shardName": "test-shard",
  "accountId": "77636e6d-ac57-484f-9302-f7922285b9a5",
  "sourceIPAddress": "10.2.91.100",
  "userAgent": "curl/7.64.1",
  "sessionId": "f836a03a-d360-4792-b081-baba525324312",
  "userIdentity": {
    "email": "crampton.rods@email.com",
    "subjectName": null
  },
  "serviceName": "unityCatalog",
  "actionName": "createMetastoreAssignment",
  "requestId": "ServiceMain-da7fa5878f40002",
  "requestParams": {
    "workspace_id": "30490590956351435170",
    "metastore_id": "abc123456-8398-4c25-91bb-b000b08739c7",
    "default_catalog_name": "main"
  },
  "response": {
    "statusCode": 200,
    "errorMessage": null,
    "result": null
  },
  "MAX_LOG_MESSAGE_LENGTH": 16384
}

監査ログ スキーマに関する考慮事項

• アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアのrequestIdは同じものになります。
• オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、System-Userユーザーによって実行されます。
• requestParamsフィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncatedが追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATEDキーが設定されます。

アカウントイベント

ワークスペースレベルでログに記録されるaccountsイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
accounts	accountLoginCodeAuthentication	ユーザーのアカウントのログイン コードが認証されます。	user
accounts	activateUser	ユーザーは非アクティブ化された後に再アクティブ化されます。 「ワークスペースでのユーザーの非アクティブ化」を参照してください。	targetUserName - endpoint - targetUserId
accounts	add	ユーザーが Databricks ワークスペースに追加されます。	targetUserName - endpoint - targetUserId
accounts	addPrincipalToGroup	ユーザーがワークスペース レベルのグループに追加されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	addX509	認証にX509証明書を使用してユーザーアカウントが追加された
accounts	certLogin	ユーザーは X509 認定を使用して Databricks にログインします。	user
accounts	changeDatabricksSqlAcl	ユーザーの Databricks SQL アクセス許可が変更されます。	shardName - targetUserId - resourceId - aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	ワークスペースへのアクセス許可が変更されます。	shardName - targetUserId - resourceId - aclPermissionSet
accounts	changeDbTokenAcl	アクセス トークンのアクセス許可が変更されます。	shardName - targetUserId - resourceId - aclPermissionSet
accounts	changeDbTokenState	Databricks アクセス トークンが無効になっています。	tokenHash - tokenState - userId
accounts	changePassword	ユーザーのパスワードが変更されました。	newPasswordSource - targetUserId - serviceSource - wasPasswordChanged - userId
accounts	changePasswordAcl	パスワード変更の権限がアカウントで変更されている。	shardName - targetUserId - resourceId - aclPermissionSet
accounts	changeServicePrincipalAcls	サービスプリンシパルの権限が変更されたとき。	shardName - targetServicePrincipal - resourceId - aclPermissionSet
accounts	createFederationPolicy	アカウント admin は、アカウントまたはサービスプリンシパル federation ポリシーを作成します。	policy_id - service_principal_id (オプション)
accounts	createGroup	ワークスペース レベルのグループが作成されます。	endpoint - targetUserId - targetUserName
accounts	createIpAccessList	IP アクセス リストがワークスペースに追加されます。	ipAccessListId - userId
accounts	deactivateUser	ワークスペースでユーザーが非アクティブ化されています。 「ワークスペースでのユーザーの非アクティブ化」を参照してください。	targetUserName - endpoint - targetUserId
accounts	delete	ユーザーが Databricks ワークスペースから削除されます。	targetUserId - targetUserName - endpoint
accounts	deleteFederationPolicy	アカウント admin がアカウントまたはサービスプリンシパル federation ポリシーを削除します。	policy_id - service_principal_id (オプション)
accounts	deleteIpAccessList	IP アクセス リストがワークスペースから削除されます。	ipAccessListId - userId
accounts	garbageCollectDbToken	ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。	tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash
accounts	generateDbToken	ユーザーがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。	tokenExpirationTime - tokenCreatedBy - tokenHash - userId
accounts	IpAccessDenied	ユーザーが拒否された IP を使用してサービスに接続しようとします。	path - user - userId
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	ユーザーは JWT を使用して Databricks にログインします。	user - authenticationMethod
accounts	login	ユーザーがワークスペースにログインします。	user - authenticationMethod
accounts	logout	ユーザーがワークスペースからログアウトします。	user
accounts	mfaAddKey	User 新しいセキュリティ キーを登録する。
accounts	mfaDeleteKey	ユーザーがセキュリティ キーを削除します。	id
accounts	mfaLogin	ユーザーは MFA を使用して Databricks にログインします。	user - authenticationMethod
accounts	oidcTokenAuthorization	API 呼び出しが汎用 OIDC/OAuth トークンを介して承認されている場合。	user - authenticationMethod
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	現在の期限切れでないトークンの数がトークンクォータを超えたとき
accounts	removeAdmin	ユーザーがワークスペース管理者の権限を取り消された場合。	targetUserName - endpoint - targetUserId
accounts	removeGroup	グループがワークスペースから削除されます。	targetGroupId - targetGroupName - endpoint
accounts	removePrincipalFromGroup	ユーザーがグループから削除されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	resetPassword	ユーザーのパスワードがリセットされます。	serviceSource - userId - endpoint - targetUserId - targetUserName - wasPasswordChanged - newPasswordSource
accounts	revokeDbToken	ユーザーのトークンがワークスペースから削除されます。 ユーザーが Databricks アカウントから削除されることによってトリガーできます。	userId - tokenHash
accounts	samlLogin	ユーザーは SAML SSO を使用して Databricks にログインします。	user - authenticationMethod
accounts	setAdmin	ユーザーにはアカウント管理者権限が付与されます。	endpoint - targetUserName - targetUserId
accounts	tokenLogin	ユーザーはトークンを使用して Databricks にログインします。	tokenId - user - authenticationMethod
accounts	updateFederationPolicy	アカウント admin は、アカウントまたはサービスプリンシパル federation ポリシーを更新します。	policy_id - service_principal_id (オプション)
accounts	updateIpAccessList	IPアクセスリストが変更された。	ipAccessListId - userId
accounts	updateUser	アカウント管理者は、ユーザーのアカウントを更新します。	targetUserName - endpoint - targetUserId
accounts	validateEmail	ユーザーがアカウント作成後にEメールを検証した場合。	endpoint - targetUserName - targetUserId
accounts	workspaceLoginCodeAuthentication	ユーザーのワークスペース スコープのログイン コードが認証されます。	user - authenticationMethod

AI/BI dashboard イベント

ワークスペースレベルでログに記録されるdashboardsイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
dashboards	getDashboard	ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。	dashboard_id
dashboards	getPublishedDashboard	ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードの公開バージョンにアクセスします。 ワークスペースユーザーとアカウントユーザーの両方からのアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードのPDFスナップショットの受信は除きます。	dashboard_id - credentials_embedded
dashboards	executeQuery	ユーザーがダッシュボードからクエリを実行します。	dashboard_id - statement_id
dashboards	cancelQuery	ユーザーがダッシュボードからクエリをキャンセルしました。	dashboard_id - statement_id
dashboards	getQueryResult	ユーザーは、ダッシュボードからクエリの結果を受け取ります。	dashboard_id - statement_id
dashboards	sendDashboardSnapshot	ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。 要求パラメーターの値は、受信者のタイプによって異なります。 Databricks 通知先の場合、 destination_id のみが表示されます。 Databricksユーザーの場合は、契約者のユーザーIDとEメールアドレスが表示されます。受信者がEメールアドレスの場合は、Eメールアドレスのみが表示されます。	dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id, email_address }
dashboards	getDashboardDetails	ユーザーは、データセットやウィジェットなど、ドラフトダッシュボードの詳細にアクセスします。 getDashboardDetails は、ユーザーが UI を使用してドラフト ダッシュボードを表示するか、API を使用してダッシュボード定義を要求したときに常に発行されます。	dashboard_id
dashboards	createDashboard	ユーザーは、UI または を使用して新しい を作成します。AI/BI dashboardAPI	dashboard_id
dashboards	updateDashboard	AI/BI dashboardユーザーは、UI または を使用してAPI を更新します。	dashboard_id
dashboards	cloneDashboard	ユーザーが AI/BI dashboardをクローンします。	source_dashboard_id - new_dashboard_id
dashboards	publishDashboard	AI/BI dashboardユーザーは、UI または を使用して、埋め込み資格情報の有無にかかわらずAPI を公開します。	dashboard_id - credentials_embedded - warehouse_id
dashboards	unpublishDashboard	ユーザーがAI/BI dashboard UI または を使用して公開済みのAPI を非公開にします。	dashboard_id
dashboards	trashDashboard	ユーザーは、ダッシュボードのUIまたは Lakeview API コマンドを使用してダッシュボードをゴミ箱に移動します。 このイベントは、これらのチャンネルを通じて実行された場合にのみログに記録され、ワークスペースのアクションではログに記録されません。 ワークスペースのアクションを監査するには、「ワークスペース イベント」を参照してください。	dashboard_id
dashboards	restoreDashboard	AI/BI dashboardユーザーは、ダッシュボードの UI またはLakeviewAPI コマンドを使用して、ごみ箱から を復元します。このイベントは、これらのチャンネルを通じて実行された場合にのみログに記録され、ワークスペースのアクションではログに記録されません。 ワークスペースのアクションを監査するには、「ワークスペース イベント」を参照してください。	dashboard_id
dashboards	migrateDashboard	ユーザーが DBSQL ダッシュボードを AI/BI dashboard.	source_dashboard_id - new_dashboard_id
dashboards	createSchedule	ユーザーがEメール サブスクリプション スケジュールを作成します。	dashboard_id - schedule_id
dashboards	updateSchedule	ユーザーが AI/BI dashboardのスケジュールを更新します。	dashboard_id - schedule_id
dashboards	deleteSchedule	ユーザーが AI/BI dashboardのスケジュールを削除します。	dashboard_id - schedule_id
dashboards	createSubscription	ユーザーが Eメール デスティネーションを AI/BI dashboard スケジュールに登録します。	dashboard_id - schedule_id - schedule
dashboards	deleteSubscription	ユーザーが Eメール デスティネーションを AI/BI dashboard スケジュールから削除しました。	dashboard_id - schedule_id

AI/BI Genie イベント

ワークスペースレベルでログに記録されるaibiGenieイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
aibiGenie	createSpace	ユーザーが新しい Genieスペースを作成します。 新しいスペースの space_id は、 response 列に記録されます。
aibiGenie	getSpace	ユーザーが Genieスペースにアクセスします。	space_id
aibiGenie	updateSpace	ユーザーが Genieスペースの設定を更新します。 可能な設定には、タイトル、説明、ウェアハウス、テーブル、サンプルの質問などがあります。	space_id - display_name - description - warehouse_id - table_identifiers
aibiGenie	trashSpace	Genieスペースがゴミ箱に移動されます。	space_id
aibiGenie	cloneSpace	ユーザーが Genieスペースをクローニングします。	space_id
aibiGenie	createConversation	ユーザーが Genieスペースに新しい会話スレッドを作成します。	space_id
aibiGenie	listConversations	ユーザーは、 Genieスペースで会話のリストを開きます。	space_id
aibiGenie	getConversation	ユーザーが Genieスペースで会話スレッドを開きます。	conversation_id - space_id
aibiGenie	updateConversation	ユーザーが会話スレッドのタイトルを更新します。	conversation_id - space_id
aibiGenie	deleteConversation	ユーザーが Genieスペース内の会話スレッドを削除します。	conversation_id - space_id
aibiGenie	listGenieSpaceMessages	CAN MANAGE権限を持つユーザーは、Genieスペースの履歴(すべてのユーザーから送信されたメッセージを含む)にアクセスします。	space_id
aibiGenie	listGenieSpaceUserMessages	少なくとも CAN VIEW つの権限を持つユーザーは、 Genieスペースの履歴にアクセスし、以前に送信した自分のメッセージを表示します。	space_id
aibiGenie	executeFullQueryResult	ユーザーは、完全なクエリ結果 (最大 ~1 GB のサイズ) を取得します。	space_id - conversation_id - message_id
aibiGenie	getMessageQueryResult	Genie は、会話メッセージに関連付けられたクエリ結果を取得します。	conversation_id - space_id、 message_id
aibiGenie	updateMessageAttachment	ユーザーがメッセージ内のクエリを更新し、再実行します。	conversation_id - space_id - message_id - attachment_id
aibiGenie	createConversationMessage	ユーザーが新しいメッセージを Genieスペースに送信します。	conversation_id - space_id
aibiGenie	getConversationMessage	ユーザーが Genieスペース内のメッセージにアクセスします。	conversation_id - space_id - message_id
aibiGenie	deleteConversationMessage	ユーザーが既存のメッセージを削除しました。	conversation_id - space_id - message_id
aibiGenie	regenerateConversationMessage	ユーザーが既存のメッセージに対する Genie 応答を再生成します。	conversation_id - space_id - message_id
aibiGenie	updateConversationMessage	ユーザーが Genieスペース内のメッセージの属性を更新します。 たとえば、レビューを要求したり、応答内の SQL を編集したりする場合があります。	conversation_id - space_id - message_id - feedback_rating
aibiGenie	updateConversationMessageFeedback	ユーザーは、Genieの回答の親指を立てるまたは下げる評価を更新します。	conversation_id - space_id - message_id
aibiGenie	executeMessageQuery	Genieは、生成されたSQLを実行して、データ更新アクションを含むクエリ結果を返します。	conversation_id - space_id - message_id
aibiGenie	cancelMessage	Genieが応答を完了する前に、ユーザーがメッセージをキャンセルしました。	conversation_id - space_id - message_id
aibiGenie	createInstruction	ユーザーが Genieスペースの指示を作成します。	space_id - instruction_type
aibiGenie	listInstructions	ユーザーは、「指示」タブまたは「データ」タブに移動します。	space_id
aibiGenie	updateInstruction	ユーザーが Genieスペースの指示を更新します。	space_id - instruction_id
aibiGenie	deleteInstruction	ユーザーが Genieスペースの指示を削除します。	space_id - instruction_id
aibiGenie	updateSampleQuestions	ユーザーがスペースのデフォルトのサンプル質問を更新します。	space_id
aibiGenie	createCuratedQuestion	ユーザーがサンプル問題またはベンチマーク問題を作成します。	space_id
aibiGenie	deleteCuratedQuestion	ユーザーがサンプルの質問またはベンチマークの質問を削除しました。	space_id - curated_question_id
aibiGenie	listCuratedQuestions	ユーザーは、スペース内のサンプル質問またはベンチマーク質問のリストにアクセスします。 これは、ユーザーが新しいチャットを開いたり、ベンチマークを表示したり、サンプルの質問を追加したりするたびにログに記録されます。	space_id
aibiGenie	updateCuratedQuestion	ユーザーがサンプルの質問またはベンチマークの質問を更新します。	space_id - curated_question_id
aibiGenie	createEvaluationResult	Genieは、評価実行で特定の質問に対する評価結果を作成します。	space_id - eval_id
aibiGenie	getEvaluationResult	ユーザーは、評価実行で特定の質問の結果にアクセスします。	space_id - eval_id
aibiGenie	getEvaluationResultDetails	ユーザーは、評価実行で特定の質問のクエリ結果にアクセスします。	space_id - eval_id
aibiGenie	updateEvaluationResult	ユーザーは、特定の質問の評価結果を更新します。	space_id - eval_id
aibiGenie	createEvaluationRun	ユーザーが新しい評価実行を作成します。	space_id
aibiGenie	listEvaluationResults	ユーザーは、評価実行の結果の一覧にアクセスします。	space_id - run_id
aibiGenie	listEvaluationRuns	ユーザーは、すべての評価実行の一覧にアクセスします。	space_id
aibiGenie	createConversationMessageComment	ユーザーが会話メッセージにフィードバック コメントを追加します。	conversation_id - space_id - message_id
aibiGenie	listConversationMessageComments	ユーザーは、スペースからフィードバック コメントのリストにアクセスします。	space_id - conversation_ids - message_ids - user_ids - comment_types
aibiGenie	deleteConversationMessageComment	ユーザーが会話メッセージに追加されたフィードバック コメントを削除します。	conversation_id - space_id - message_id - message_comment_id

クラスター イベント

ワークスペースレベルでログに記録されるclusterイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusters	changeClusterAcl	ユーザーがクラスター ACLを変更します。	shardName - aclPermissionSet - targetUserId - resourceId
clusters	create	ユーザーがクラスターを作成します。	cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine
clusters	createResult	クラスター作成の結果。createと組み合わせて使用されます。	clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clusters	delete	クラスターが終了します。	cluster_id
clusters	deleteResult	クラスターの終了の結果。 delete.	clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clusters	edit	ユーザーがクラスター設定を変更します。 これにより、クラスター サイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。	cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine
clusters	permanentDelete	クラスターが UI から削除されます。	cluster_id
clusters	resize	クラスターのサイズが変更されます。 これは、クラスター サイズまたはオートスケールの動作のいずれかを変更する唯一のプロパティである稼働中のクラスターに記録されます。	cluster_id - num_workers - autoscale
clusters	resizeResult	クラスターのサイズ変更の結果。 resize.	clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clusters	restart	ユーザーが稼働中のクラスターを再起動します。	cluster_id
clusters	restartResult	クラスターの再起動の結果。 restart.	clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clusters	start	ユーザーがクラスターを開始します。	init_scripts_safe_mode - cluster_id
clusters	startResult	クラスター開始の結果。 start.	clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId

クラスター ライブラリ イベント

ワークスペースレベルでログに記録されるclusterLibrariesイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusterLibraries	installLibraries	ユーザーがクラスターにライブラリをインストールします。	cluster_id - libraries
clusterLibraries	uninstallLibraries	ユーザーがクラスター上のライブラリをアンインストールします。	cluster_id - libraries
clusterLibraries	installLibraryOnAllClusters	ワークスペース管理者は、ライブラリをすべてのクラスターにインストールするようにスケジュールします。	user - library
clusterLibraries	uninstallLibraryOnAllClusters	ワークスペース管理者は、ライブラリをリストから削除して、すべてのクラスターにインストールします。	user - library

クラスターポリシー events

ワークスペースレベルでログに記録されるclusterPoliciesイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusterPolicies	create	ユーザーがクラスターポリシーを作成しました。	name
clusterPolicies	edit	ユーザーがクラスターポリシーを編集しました。	policy_id - name
clusterPolicies	delete	ユーザーがクラスターポリシーを削除しました。	policy_id
clusterPolicies	changeClusterPolicyAcl	ワークスペース管理者がクラスターポリシーのアクセス許可を変更します。	shardName - targetUserId - resourceId - aclPermissionSet

Databricks SQL イベント

ワークスペースレベルでログに記録されるdatabrickssqlイベントを次に示します。

注記

従来の エンドポイント を使用して SQLウェアハウスを管理している場合、SQLAPI SQLウェアハウスの監査イベントには異なるアクション名が付けられます。エンドポイント ログSQLを参照してください。

サービス	操作	説明	リクエストパラメーター
databrickssql	addDashboardWidget	ウィジェットがダッシュボードに追加されます。	dashboardId - widgetId
databrickssql	cancelQueryExecution	クエリの実行は、SQL エディターの UI からキャンセルされます。 これには、クエリー履歴 UI または Databricks SQL Execution APIから発生したキャンセルは含まれません。	queryExecutionId
databrickssql	changeEndpointAcls	ウェアハウス マネージャーは、 SQLウェアハウスのアクセス許可を更新します。	aclPermissionSet - resourceId - shardName - targetUserId
databrickssql	changePermissions	ユーザーがオブジェクトに対する権限を更新します。	granteeAndPermission - objectId - objectType
databrickssql	cloneDashboard	ユーザーがダッシュボードを複製します。	dashboardId
databrickssql	commandSubmit	詳細な監査ログのみ。 コマンドが SQLウェアハウスに送信されると、要求の発生元に関係なく生成されます。	warehouseId - commandId - validation - commandText
databrickssql	commandFinish	詳細な監査ログのみ。 SQLウェアハウスのコマンドが完了またはキャンセルされたときに、キャンセル要求の発生元に関係なく生成されます。	warehouseId - commandId
databrickssql	createAlert	ユーザーがアラートを作成します。	alertId
databrickssql	createNotificationDestination	ワークスペース管理者が通知先を作成します。	notificationDestinationId - notificationDestinationType
databrickssql	createDashboard	ユーザーがダッシュボードを作成します。	dashboardId
databrickssql	createDataPreviewDashboard	ユーザーがデータ プレビュー ダッシュボードを作成します。	dashboardId
databrickssql	createWarehouse	クラスター作成権限を持つユーザーは、 SQLウェアハウスを作成します。	auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides
databrickssql	createQuery	ユーザーが新しいクエリを作成します。	queryId
databrickssql	createQueryDraft	ユーザーがクエリの下書きを作成します。	queryId
databrickssql	createQuerySnippet	ユーザーがクエリスニペットを作成します。	querySnippetId
databrickssql	createSampleDashboard	ユーザーがサンプル ダッシュボードを作成します。	sampleDashboardId
databrickssql	createVisualization	ユーザーは、SQL エディターを使用して視覚化を生成します。 SQLウェアハウスを利用するノートブックのデフォルトの結果テーブルとビジュアライゼーションは除外されます。	queryId - visualizationId
databrickssql	deleteAlert	ユーザーは、アラート インターフェイスまたは API を使用してアラートを削除します。 ファイルブラウザのUIからの削除を除外します。	alertId
databrickssql	deleteNotificationDestination	ワークスペース管理者が通知先を削除します。	notificationDestinationId
databrickssql	deleteDashboard	ユーザーは、ダッシュボードインターフェースから、または API を使用してダッシュボードを削除します。 ファイルブラウザのUIによる削除は除外されます。	dashboardId
databrickssql	deleteDashboardWidget	ユーザーがダッシュボードウィジェットを削除しました。	widgetId
databrickssql	deleteWarehouse	ウェアハウス マネージャーが SQLウェアハウスを削除します。	id
databrickssql	deleteQuery	ユーザーは、クエリ インターフェイスから、または API を使用してクエリを削除します。 ファイルブラウザのUIによる削除は除外されます。	queryId
databrickssql	deleteQueryDraft	ユーザーがクエリの下書きを削除します。	queryId
databrickssql	deleteQuerySnippet	ユーザーがクエリ スニペットを削除します。	querySnippetId
databrickssql	deleteVisualization	ユーザーが SQL エディターでクエリからビジュアライゼーションを削除します。	visualizationId
databrickssql	downloadQueryResult	ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードは除外されます。	fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId
databrickssql	editWarehouse	ウェアハウス マネージャーは、 SQLウェアハウスを編集します。	auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags
databrickssql	executeAdhocQuery	次のいずれかによって生成されます。 - ユーザーが SQL エディターでクエリの下書きを実行する - クエリは、視覚化された集計から実行されます - ユーザーがダッシュボードを読み込み、基になるクエリを実行する	dataSourceId
databrickssql	executeSavedQuery	ユーザーが保存したクエリを実行します。	queryId
databrickssql	executeWidgetQuery	クエリを実行するイベントによって生成され、ダッシュボードパネルが更新されます。 該当するイベントの例には、次のようなものがあります。 - 1 つのパネルの更新 - ダッシュボード全体の更新 - スケジュールされたダッシュボードの実行 - 64,000行を超えるパラメーターまたはフィルターの変更	widgetId
databrickssql	favoriteDashboard	ユーザーがダッシュボードをお気に入りに登録する。	dashboardId
databrickssql	favoriteQuery	ユーザーがクエリをお気に入りに登録します。	queryId
databrickssql	forkQuery	ユーザーがクエリを複製します。	originalQueryId - queryId
databrickssql	listQueries	ユーザーがクエリ リスト ページを開くか、リスト クエリ API を呼び出します。	filter_by - include_metrics - max_results - page_token
databrickssql	moveAlertToTrash	ユーザーがアラートをゴミ箱に移動します。	alertId
databrickssql	moveDashboardToTrash	ユーザーがダッシュボードをゴミ箱に移動します。	dashboardId
databrickssql	moveQueryToTrash	ユーザーがクエリをゴミ箱に移動します。	queryId
databrickssql	restoreAlert	ユーザーがごみ箱からアラートを復元します。	alertId
databrickssql	restoreDashboard	ユーザーがごみ箱からダッシュボードを復元します。	dashboardId
databrickssql	restoreQuery	ユーザーがごみ箱からクエリを復元します。	queryId
databrickssql	setWarehouseConfig	ウェアハウス マネージャーは、 SQLウェアハウスの構成を設定します。	data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse
databrickssql	snapshotDashboard	ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。	dashboardId
databrickssql	startWarehouse	SQLウェアハウスが開始されます。	id
databrickssql	stopWarehouse	ウェアハウス マネージャーは、 SQLウェアハウスを停止します。 autostopped ウェアハウスは除きます。	id
databrickssql	transferObjectOwnership	ワークスペース管理者は、オブジェクト所有権の転送 API を通じて、ダッシュボード、クエリ、またはアラートの所有権をアクティブ ユーザーに譲渡します。 UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。	newOwner - objectId - objectType
databrickssql	unfavoriteDashboard	ユーザーがダッシュボードをお気に入りから削除します。	dashboardId
databrickssql	unfavoriteQuery	ユーザーがお気に入りからクエリを削除します。	queryId
databrickssql	updateAlert	ユーザーがアラートを更新します。 ownerUserName は、アラートの所有権が API を使用して転送された場合に入力されます。	alertId - queryId - ownerUserName
databrickssql	updateNotificationDestination	ワークスペース管理者が通知先を更新します。	notificationDestinationId
databrickssql	updateDashboardWidget	ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ウィジェットのサイズまたは配置の変更 - ウィジェット パラメーターの追加または削除	widgetId
databrickssql	updateDashboard	ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ダッシュボード名の変更 - SQLウェアハウスへの変更 - [実行] 設定に変更する	dashboardId
databrickssql	updateOrganizationSetting	ワークスペース管理者は、ワークスペースの SQL 設定を更新します。	has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions
databrickssql	updateQuery	ユーザーがクエリを更新します。 ownerUserName は、クエリの所有権が API を使用して転送された場合に入力されます。	queryId - ownerUserName
databrickssql	updateQueryDraft	ユーザーがクエリの下書きを更新します。	queryId
databrickssql	updateQuerySnippet	ユーザーがクエリ スニペットを更新します。	querySnippetId
databrickssql	updateVisualization	ユーザーは、SQL エディターまたはダッシュボードからビジュアライゼーションを更新します。	visualizationId

Data モニタリング イベント

次の dataMonitoring イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
dataMonitoring	CreateMonitor	ユーザーがモニターを作成します。	data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log
dataMonitoring	UpdateMonitor	ユーザーがモニターを更新します。	data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs
dataMonitoring	DeleteMonitor	ユーザーがモニターを削除します。	full_table_name_arg
dataMonitoring	RunRefresh	モニターは、スケジュールまたは手動で更新されます。	full_table_name_arg

DBFS イベント

次の表に、ワークスペース レベルでログに記録された dbfs イベントを示します。

DBFS イベントには、API 呼び出しと運用イベントの 2 種類があります。

DBFS API イベント

次の DBFS 監査イベントは、 DBFS REST API を介して書き込まれた場合にのみログに記録されます。

サービス	操作	説明	リクエストパラメーター
dbfs	addBlock	ユーザーがストリームにデータのブロックを追加します。 これは、dbfs/create と組み合わせて使用し、データを DBFS にストリームします。	handle - data_length
dbfs	create	ユーザーはストリームを開いてDBFにファイルを書き込む。	path - bufferSize - overwrite
dbfs	delete	ユーザーが DBF からファイルまたはディレクトリを削除します。	recursive - path
dbfs	mkdirs	ユーザーが新しい DBFS ディレクトリを作成します。	path
dbfs	move	ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。	dst - source_path - src - destination_path
dbfs	put	ユーザーは、マルチパートフォームポストを使用してDBFにファイルをアップロードします。	path - overwrite

DBFS 運用イベント

次の DBFS 監査イベントは、コンピュート プレーンで発生します。

サービス	操作	説明	リクエストパラメーター
dbfs	mount	ユーザーは、特定の DBFS ロケーションにマウントポイントを作成します。	mountPoint - owner
dbfs	unmount	ユーザーが特定の DBFS ロケーションのマウント ポイントを削除します。	mountPoint

Delta パイプライン イベント

サービス	操作	説明	リクエストパラメーター
deltaPipelines	changePipelineAcls	ユーザーがパイプラインのアクセス許可を変更します。	shardId - targetUserId - resourceId - aclPermissionSet
deltaPipelines	create	ユーザーが DLT パイプラインを作成します。	allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon
deltaPipelines	delete	ユーザーが DLT パイプラインを削除します。	pipeline_id
deltaPipelines	edit	ユーザーが DLT パイプラインを編集します。	allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon
deltaPipelines	startUpdate	ユーザーが DLT パイプラインを再起動します。	cause - full_refresh - job_task - pipeline_id
deltaPipelines	stop	ユーザーが DLT パイプラインを停止します。	pipeline_id

機能ストアのイベント

次の featureStore イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
featureStore	addConsumer	コンシューマーが機能ストアに追加されます。	features - job_run - notebook
featureStore	addDataSources	特徴量テーブルにデータソースが追加されます。	feature_table - paths, tables
featureStore	addProducer	特徴量テーブルにプロデューサーが追加されます。	feature_table - job_run - notebook
featureStore	changeFeatureTableAcl	パーミッションは特徴量テーブルで変更されます。	aclPermissionSet - resourceId - shardName - targetUserId
featureStore	createFeatureTable	特徴量テーブルが作成されます。	description - name - partition_keys - primary_keys - timestamp_keys
featureStore	createFeatures	特徴量テーブルに特徴量が作成されます。	feature_table - features
featureStore	deleteFeatureTable	特徴量テーブルが削除されます。	name
featureStore	deleteTags	タグは特徴量テーブルから削除されます。	feature_table_id - keys
featureStore	getConsumers	ユーザーは、特徴量テーブルでコンシューマーを取得するために呼び出しを行います。	feature_table
featureStore	getFeatureTable	ユーザーが特徴量テーブルを取得するために呼び出しを行います。	name
featureStore	getFeatureTablesById	ユーザーが特徴量テーブル ID を取得するために呼び出しを行います。	ids
featureStore	getFeatures	ユーザーは、機能を取得するために呼び出しを行います。	feature_table - max_results
featureStore	getModelServingMetadata	ユーザーが呼び出しを行って、モデルサービングメタデータを取得します。	feature_table_features
featureStore	getOnlineStore	ユーザーが電話をかけてオンラインストアの詳細を取得します。	cloud - feature_table - online_table - store_type
featureStore	getTags	ユーザーが呼び出しを行って、特徴量テーブルのタグを取得します。	feature_table_id
featureStore	publishFeatureTable	特徴量テーブルを公開しています。	cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix
featureStore	searchFeatureTables	ユーザーが特徴量テーブルを検索します。	max_results - page_token - text
featureStore	setTags	タグは特徴量テーブルに追加されます。	feature_table_id - tags
featureStore	updateFeatureTable	特徴量テーブルを更新しました。	description - name

ファイルイベント

次の filesystem イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
filesystem	filesGet	ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。	path - transferredSize
filesystem	filesPut	ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。	path - receivedSize
filesystem	filesDelete	ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。	path
filesystem	filesHead	ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。	path

Genieイベント

次の genie イベントは、ワークスペース レベルでログに記録されます。

注記

このサービスは AI/BI Genieスペースとは無関係です。 AI/BI Genie イベントを参照してください。

サービス	操作	説明	リクエストパラメーター
genie	databricksAccess	Databricks担当者は、顧客環境にアクセスする権限があります。	duration - approver - reason - authType - user

Git 資格情報イベント

次の gitCredentials イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
gitCredentials	getGitCredential	ユーザーは git 資格情報を取得します。	id
gitCredentials	listGitCredentials	ユーザーがすべての git 資格情報を一覧表示する	なし
gitCredentials	deleteGitCredential	ユーザーが git 資格情報を削除します。	id
gitCredentials	updateGitCredential	ユーザーが git 資格情報を更新します。	id - git_provider - git_username
gitCredentials	createGitCredential	ユーザーが git 資格情報を作成します。	git_provider - git_username

グローバルinitスクリプトイベント

次の globalInitScripts イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
globalInitScripts	create	ワークスペース管理者は、グローバル初期化スクリプトを作成します。	name - position - script-SHA256 - enabled
globalInitScripts	update	ワークスペース管理者がグローバル初期化スクリプトを更新します。	script_id - name - position - script-SHA256 - enabled
globalInitScripts	delete	ワークスペース管理者がグローバル初期化スクリプトを削除します。	script_id

グループイベント

次の groups イベントは、ワークスペース レベルでログに記録されます。 これらのアクションは、レガシー ACL グループに関連しています。 アカウントとワークスペースレベルのグループに関連するアクションについては、 アカウント イベントおよび アカウントレベルのアカウントイベントを参照してください。

サービス	操作	説明	リクエストパラメーター
groups	addPrincipalToGroup	管理者がユーザーをグループに追加します。	user_name - parent_name
groups	createGroup	管理者がグループを作成します。	group_name
groups	getGroupMembers	管理者は、グループ メンバーを表示します。	group_name
groups	getGroups	管理者がグループのリストを表示する	なし
groups	getInheritedGroups	管理者は、継承されたグループを表示します	なし
groups	removeGroup	管理者がグループを削除した。	group_name

IAMロールイベント

次の iamRole イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
iamRole	changeIamRoleAcl	ワークスペース管理者が IAMロールの権限を変更します。	targetUserId - shardName - resourceId - aclPermissionSet

インジェストイベント

次の ingestion イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
ingestion	proxyFileUpload	ユーザーが Databricks ワークスペースにファイルをアップロードします。	x-databricks-content-length-0 - x-databricks-total-files

インスタンス・プール・イベント

次の instancePools イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
instancePools	changeInstancePoolAcl	ユーザーがインスタンス・プールの権限を変更します。	shardName - resourceId - targetUserId - aclPermissionSet
instancePools	create	ユーザーがインスタンス・プールを作成します。	enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes
instancePools	delete	ユーザーがインスタンス・プールを削除します。	instance_pool_id
instancePools	edit	ユーザーがインスタンス・プールを編集します。	instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes

ジョブイベント

次の jobs イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
jobs	cancel	ジョブの実行がキャンセルされます。	run_id
jobs	cancelAllRuns	ユーザーがジョブのすべての実行をキャンセルします。	job_id
jobs	changeJobAcl	ユーザーがジョブのアクセス許可を更新します。	shardName - aclPermissionSet - resourceId - targetUserId
jobs	create	ユーザーがジョブを作成します。	spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as
jobs	delete	ユーザーがジョブを削除します。	job_id
jobs	deleteRun	ユーザーがジョブ実行を削除します。	run_id
jobs	getRunOutput	ユーザーが API 呼び出しを行って、実行出力を取得します。	run_id - is_from_webapp
jobs	repairRun	ユーザーがジョブの実行を修復します。	run_id - latest_repair_id - rerun_tasks
jobs	reset	ジョブがリセットされます。	job_id - new_settings
jobs	resetJobAcl	ユーザーがジョブの権限の変更を要求します。	grants - job_id
jobs	runCommand	詳細監査ログが有効な場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブックのセルに対応します。	jobId - runId - notebookId - executionTime - status - commandId - commandText
jobs	runFailed	ジョブの実行が失敗します。	jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName
jobs	runNow	ユーザーがオンデマンドのジョブ実行をトリガーします。	notebook_params - job_id - jar_params - workflow_context
jobs	runStart	検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクのタイプによって異なります。 一覧表示されているパラメーターに加えて、次のパラメーターを含めることができます。 - dashboardId (SQL ダッシュボード タスクの場合) - filePath (SQL ファイルタスクの場合) - notebookPath (ノートブック タスク用) - mainClassName (Spark JAR タスク用) - pythonFile (Spark JAR タスク用) - projectDirectory (dbt タスクの場合) - commands (dbt タスクの場合) - packageName ( Python wheel タスク用) - entryPoint ( Python wheel タスク用) - pipelineId (パイプラインタスクの場合) - queryIds (SQL クエリタスクの場合) - alertId (SQL アラート タスクの場合)	taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName
jobs	runSucceeded	ジョブの実行が成功しました。	idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName
jobs	runTriggered	ジョブ・スケジュールは、そのスケジュールまたはトリガーに従って自動的にトリガーされます。	jobId - jobTriggeredType - runId
jobs	sendRunWebhook	Webhook は、ジョブが開始、完了、または失敗したときに送信されます。	orgId - jobId - jobWebhookId - jobWebhookEvent - runId
jobs	setTaskValue	ユーザーがタスクの値を設定します。	run_id - key
jobs	submitRun	ユーザーは API を介して 1 回限りの実行を送信します。	shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task
jobs	update	ユーザーがジョブの設定を編集します。	job_id - fields_to_remove - new_settings - is_from_dlt

リネージ追跡イベント

次の lineageTracking イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
lineageTracking	listColumnLineages	ユーザーは、列のアップストリーム列またはダウンストリーム列のリストにアクセスします。	table_name - column_name - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM)
lineageTracking	listSecurableLineagesBySecurable	ユーザーは、セキュリティ保護可能なリソースのアップストリームまたはダウンストリームのセキュリティ保護可能なリソースの一覧にアクセスします。	securable_full_name - securable_type - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM)
lineageTracking	listEntityLineagesBySecurable	ユーザーは、セキュリティ保護可能なリソースに書き込んだり読み取ったりするエンティティ (ノートブック、ジョブなど) の一覧にアクセスします。	securable_full_name - securable_type - lineage_direction: リネージ方向 (UPSTREAM または DOWNSTREAM) - entity_response_filter: エンティティの種類 (ノートブック、ジョブ、ダッシュボード、パイプライン、クエリ、サービング エンドポイントなど)。
lineageTracking	getColumnLineages	ユーザーは、テーブルとその列の列リネージを取得します。	table_name - column_name
lineageTracking	getTableEntityLineages	ユーザーは、テーブルのアップストリームとダウンストリームのリネージを取得します。	table_name - include_entity_lineage
lineageTracking	getJobTableLineages	ユーザーは、ジョブのアップストリーム テーブルとダウンストリーム テーブル リネージを取得します。	job_id
lineageTracking	getFunctionLineages	ユーザーは、関数のアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。	function_name
lineageTracking	getModelVersionLineages	ユーザーは、モデルとそのバージョンのアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。	model_name - version
lineageTracking	getEntityTableLineages	ユーザーは、エンティティ (ノートブック、ジョブなど) のアップストリーム テーブルとダウンストリーム テーブルを取得します。	entity_type - entity_id
lineageTracking	getFrequentlyJoinedTables	ユーザーは、テーブルの頻繁に結合されるテーブルを取得します。	table_name
lineageTracking	getFrequentQueryByTable	ユーザーは、テーブルに対する頻繁なクエリを取得します。	source_table_name
lineageTracking	getFrequentUserByTable	ユーザーは、テーブルの頻繁なユーザーを取得します。	table_name
lineageTracking	getTablePopularityByDate	ユーザーは、過去 1 か月間のテーブルの人気度 (クエリ数) を取得します。	table_name
lineageTracking	getPopularEntities	ユーザーは、テーブルの一般的なエンティティ (ノートブック、ジョブなど) を取得します。	scope: ワークスペース名またはテーブル名から一般的なエンティティを取得するスコープを指定します。 - table_name
lineageTracking	getPopularTables	ユーザーは、テーブルのリストに対するテーブルの人気情報を取得します。	scope: メタストアまたはテーブル リストから一般的なテーブルを取得するスコープを指定します。 - table_name_list

Marketplace の消費者向けイベント

次の marketplaceConsumer イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
marketplaceConsumer	getDataProduct	ユーザーは、Databricks Marketplace を通じてデータ製品にアクセスできます。	listing_id - listing_name - share_name - catalog_name - request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列
marketplaceConsumer	requestDataProduct	ユーザーが、プロバイダーの承認が必要なデータ製品へのアクセスを要求します。	listing_id - listing_name - catalog_name - request_context:データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列

Marketplace プロバイダー イベント

次の marketplaceProvider イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
marketplaceProvider	createListing	メタストア管理者は、プロバイダー プロファイルにリストを作成します。	listing: リストに関する詳細の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateListing	メタストア管理者は、プロバイダー プロファイルの一覧を更新します。	id - listing: リストに関する詳細の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteListing	メタストア管理者は、プロバイダー プロファイルの一覧を削除します。	id - request_context: プロバイダーのアカウントとメタストアに関する詳細の配列
marketplaceProvider	updateConsumerRequestStatus	メタストア管理者は、データ製品の要求を承認または拒否します。	listing_id - request_id - status - reason - share: 共有に関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	createProviderProfile	メタストア管理者は、プロバイダー プロファイルを作成します。	provider: プロバイダーに関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateProviderProfile	メタストア管理者は、プロバイダー プロファイルを更新します。	id - provider: プロバイダーに関する情報の配列 - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteProviderProfile	メタストア管理者がプロバイダー プロファイルを削除します。	id - request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	uploadFile	プロバイダーは、プロバイダー プロファイルにファイルをアップロードします。	request_context: プロバイダーのアカウントとメタストアに関する情報の配列 - marketplace_file_type - display_name - mime_type - file_parent: ファイルの親の詳細の配列
marketplaceProvider	deleteFile	プロバイダーは、プロバイダー プロファイルからファイルを削除します。	file_id - request_context: プロバイダーのアカウントとメタストアに関する情報の配列

ACL イベントを含む MLflow アーティファクト

次の mlflowAcledArtifact イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
mlflowAcledArtifact	readArtifact	ユーザーがアーティファクトを読み取るために呼び出しを行います。	artifactLocation - experimentId - runId
mlflowAcledArtifact	writeArtifact	ユーザーがアーティファクトへの書き込みを呼び出す。	artifactLocation - experimentId - runId

MLflow エクスペリメントイベント

次の mlflowExperiment イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
mlflowExperiment	createMlflowExperiment	ユーザーが MLflow エクスペリメントを作成します。	experimentId - path - experimentName
mlflowExperiment	deleteMlflowExperiment	ユーザーが MLflow エクスペリメントを削除します。	experimentId - path - experimentName
mlflowExperiment	moveMlflowExperiment	ユーザーが MLflow エクスペリメントを移動します。	newPath - experimentId - oldPath
mlflowExperiment	restoreMlflowExperiment	ユーザーが MLflow エクスペリメントを復元します。	experimentId - path - experimentName
mlflowExperiment	renameMlflowExperiment	ユーザーが MLflow エクスペリメントの名前を変更します。	oldName - newName - experimentId - parentPath

MLflow モデルレジストリ イベント

次の mlflowModelRegistry イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
modelRegistry	approveTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を承認します。	name - version - stage - archive_existing_versions
modelRegistry	changeRegisteredModelAcl	ユーザーが登録済みモデルの権限を更新します。	registeredModelId - userId
modelRegistry	createComment	ユーザーがモデルバージョンにコメントを投稿します。	name - version
modelRegistry	createModelVersion	ユーザーがモデルバージョンを作成します。	name - source - run_id - tags - run_link
modelRegistry	createRegisteredModel	ユーザーが新しい登録済みモデルを作成する	name - tags
modelRegistry	createRegistryWebhook	ユーザーが Model Registry イベントの Webhook を作成します。	orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec
modelRegistry	createTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を作成します。	name - version - stage
modelRegistry	deleteComment	ユーザーがモデルバージョンのコメントを削除します。	id
modelRegistry	deleteModelVersion	ユーザーがモデルバージョンを削除します。	name - version
modelRegistry	deleteModelVersionTag	ユーザーがモデル バージョン タグを削除します。	name - version - key
modelRegistry	deleteRegisteredModel	ユーザーが登録したモデルを削除した場合	name
modelRegistry	deleteRegisteredModelTag	ユーザーが登録したモデルのタグを削除します。	name - key
modelRegistry	deleteRegistryWebhook	ユーザーが Model Registry Webhook を削除します。	orgId - webhookId
modelRegistry	deleteTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を取り消しました。	name - version - stage - creator
modelRegistry	finishCreateModelVersionAsync	非同期モデルのコピーが完了しました。	name - version
modelRegistry	generateBatchInferenceNotebook	バッチ推論ノートブックは自動生成されます。	userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath
modelRegistry	generateDltInferenceNotebook	DLT パイプラインの推論ノートブックは自動生成されます。	userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath
modelRegistry	getModelVersionDownloadUri	ユーザーは、モデルバージョンをダウンロードするためのURIを取得します。	name - version
modelRegistry	getModelVersionSignedDownloadUri	ユーザーは、署名されたモデルバージョンをダウンロードするためのURIを取得します。	name - version - path
modelRegistry	listModelArtifacts	ユーザーが呼び出しを行って、モデルのアーティファクトを一覧表示します。	name - version - path - page_token
modelRegistry	listRegistryWebhooks	ユーザーが呼び出しを行い、モデル内のすべてのレジストリ Webhook を一覧表示します。	orgId - registeredModelId
modelRegistry	rejectTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を拒否しました。	name - version - stage
modelRegistry	renameRegisteredModel	ユーザーが登録済みモデルの名前を変更する	name - new_name
modelRegistry	setEmailSubscriptionStatus	ユーザーが登録済みモデルのEメール サブスクリプション ステータスを更新する
modelRegistry	setModelVersionTag	ユーザーがモデルバージョンタグを設定します。	name - version - key - value
modelRegistry	setRegisteredModelTag	ユーザーがモデルバージョンタグを設定します。	name - key - value
modelRegistry	setUserLevelEmailSubscriptionStatus	ユーザーは、レジストリ全体の Eメール 通知ステータスを更新します。	orgId - userId - subscriptionStatus
modelRegistry	testRegistryWebhook	ユーザーが Model Registry Webhook をテストします。	orgId - webhookId
modelRegistry	transitionModelVersionStage	ユーザーは、モデルバージョンに対するすべてのオープンステージの移行リクエストのリストを取得します。	name - version - stage - archive_existing_versions
modelRegistry	triggerRegistryWebhook	Model Registry Webhook は、イベントによってトリガーされます。	orgId - registeredModelId - events - status
modelRegistry	updateComment	ユーザーがモデルバージョンのコメントに編集を投稿します。	id
modelRegistry	updateRegistryWebhook	ユーザーが Model Registry Webhook を更新します。	orgId - webhookId

モデルサービングイベント

次の serverlessRealTimeInference イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
serverlessRealTimeInference	changeInferenceEndpointAcl	ユーザーが推論エンドポイントのアクセス許可を更新します。	shardName - targetUserId - resourceId - aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	ユーザーがモデルサービングエンドポイントを作成します。	name - config
serverlessRealTimeInference	deleteServingEndpoint	ユーザーがモデルサービングエンドポイントを削除します。	name
serverlessRealTimeInference	disable	ユーザーは、登録済みモデルのモデルサービングを無効にします。	registered_mode_name
serverlessRealTimeInference	enable	ユーザーは、登録されたモデルに対してモデルサービングを有効にします。	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	ユーザーは、クエリ スキーマのプレビューを取得するために呼び出しを行います。	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	ユーザーがモデルサービングエンドポイントを更新します。	name - served_models - traffic_config
serverlessRealTimeInference	updateInferenceEndpointRateLimits	ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。	name - rate_limits

ノートブックのイベント

次の notebook イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
notebook	attachNotebook	ノートブックはクラスターにアタッチされます。	path - clusterId - notebookId
notebook	cloneNotebook	ユーザーがノートブックをクローンします。	notebookId - path - clonedNotebookId - destinationPath
notebook	createNotebook	ノートブックが作成されます。	notebookId - path
notebook	deleteFolder	ノートブック フォルダーが削除されます。	path
notebook	deleteNotebook	ノートブックが削除されます。	notebookId - notebookName - path
notebook	detachNotebook	ノートブックは、クラスターからデタッチされます。	notebookId - clusterId - path
notebook	downloadLargeResults	ユーザーがダウンロードするクエリ結果が大きすぎてノートブックに表示できない。	notebookId - notebookFullPath
notebook	downloadPreviewResults	ユーザーがクエリ結果をダウンロードします。	notebookId - notebookFullPath
notebook	importNotebook	ユーザーがノートブックをインポートします。	path
notebook	moveFolder	ノートブック フォルダは、ある場所から別の場所に移動します。	oldPath - newPath - folderId
notebook	moveNotebook	ノートブックは、ある場所から別の場所に移動されます。	newPath - oldPath - notebookId
notebook	renameNotebook	ノートブックの名前が変更されます。	newName - oldName - parentPath - notebookId
notebook	restoreFolder	削除したフォルダが復元されます。	path
notebook	restoreNotebook	削除したノートブックが復元されます。	path - notebookId - notebookName
notebook	runCommand	詳細監査ログが有効な場合に使用できます。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドは、ノートブックのセルに対応します。 executionTime は秒単位で測定されます。	notebookId - executionTime - status - commandId - commandText - commandLanguage
notebook	takeNotebookSnapshot	ノートブックのスナップショットは、ジョブ サービスまたは mlflow の実行時に取得されます。	path

Partner Connectイベント

次の partnerHub イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
partnerHub	createOrReusePartnerConnection	ワークスペース管理者は、パートナー ソリューションへの接続を設定します。	partner_name
partnerHub	deletePartnerConnection	ワークスペース管理者がパートナー接続を削除します。	partner_name
partnerHub	downloadPartnerConnectionFile	ワークスペース管理者がパートナー接続ファイルをダウンロードします。	partner_name
partnerHub	setupResourcesForPartnerConnection	ワークスペース管理者は、パートナー接続のリソースを設定します。	partner_name

予測的最適化 イベント

次の predictiveOptimization イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
predictiveOptimization	PutMetrics	予測的最適化によってテーブルとワークロードのメトリクスが更新されると、サービスが最適化操作をよりインテリジェントにスケジュールできるようになるため、記録されます。	table_metrics_list - start_time - end_time

リモート履歴サービスイベント

次の RemoteHistoryService イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
RemoteHistoryService	addUserGitHubCredentials	ユーザーがGithubの資格情報を追加	なし
RemoteHistoryService	deleteUserGitHubCredentials	ユーザーがGithubの資格情報を削除する	なし
RemoteHistoryService	updateUserGitHubCredentials	ユーザーがGithubの資格情報を更新	なし

Git フォルダのイベント

次の repos イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
repos	checkoutBranch	ユーザーがリポジトリのブランチをチェックアウトします。	id - branch
repos	commitAndPush	ユーザーがコミットしてリポジトリにプッシュします。	id - message - files - checkSensitiveToken
repos	createRepo	ユーザーがワークスペースに Repo ジトリを作成する	url - provider - path
repos	deleteRepo	ユーザーがリポジトリを削除します。	id
repos	discard	ユーザーはリポジトリへのコミットを破棄します。	id - file_paths
repos	getRepo	ユーザーは、1 つのリポジトリに関する情報を取得するために呼び出しを行います。	id
repos	listRepos	ユーザーが呼び出しを行って、管理アクセス許可を持つすべてのリポジトリを取得します。	path_prefix - next_page_token
repos	pull	ユーザーがリポジトリから最新のコミットをプルします。	id
repos	updateRepo	ユーザーがリポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。	id - branch - tag - git_url - git_provider

シークレットイベント

次の secrets イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
secrets	createScope	ユーザーがシークレットスコープを作成します。	scope - initial_manage_principal - scope_backend_type
secrets	deleteAcl	ユーザーがシークレットスコープの ACL を削除します。	scope - principal
secrets	deleteScope	ユーザーがシークレットスコープを削除します。	scope
secrets	deleteSecret	ユーザーがスコープからシークレットを削除します。	key - scope
secrets	getAcl	ユーザーはシークレットスコープの ACL を取得します。	scope - principal
secrets	getSecret	ユーザーがスコープからシークレットを取得します。	key - scope
secrets	listAcls	ユーザーがシークレットスコープの ACL を一覧表示する呼び出しを行います。	scope
secrets	listScopes	ユーザーがシークレットスコープをリストするために呼び出しを行う	なし
secrets	listSecrets	ユーザーがスコープ内のシークレットをリストするために呼び出しを行います。	scope
secrets	putAcl	ユーザーがシークレットスコープの ACL を変更します。	scope - principal - permission
secrets	putSecret	ユーザーがスコープ内のシークレットを追加または編集します。	string_value - key - scope

SQL テーブル・アクセス・イベント

注記

sqlPermissions サービスには、レガシ Hive metastore テーブルアクセスコントロールに関連するイベントが含まれています。 Databricks では、Hive metastoreによって管理されているテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。

次の sqlPermissions イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
sqlPermissions	changeSecurableOwner	ワークスペース管理者またはオブジェクトの所有者は、オブジェクトの所有権を譲渡します。	securable - principal
sqlPermissions	createSecurable	ユーザーがセキュリティ保護可能なオブジェクトを作成します。	securable
sqlPermissions	denyPermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。	permission
sqlPermissions	grantPermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。	permission
sqlPermissions	removeAllPermissions	ユーザーがセキュリティ保護可能なオブジェクトを削除します。	securable
sqlPermissions	renameSecurable	ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。	before - after
sqlPermissions	requestPermissions	ユーザーがセキュリティ保護可能なオブジェクトに対する権限を要求します。	requests
sqlPermissions	revokePermission	オブジェクト所有者が、セキュリティ保護可能なオブジェクトに対する権限を取り消します。	permission
sqlPermissions	showPermissions	セキュリティ保護可能なオブジェクトの権限をユーザーに表示します。	securable - principal

SSH イベント

次の ssh イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
ssh	login	SparkドライバーへのSSHのエージェントログイン。	containerId - userName - port - publicKey - instanceId
ssh	logout	SparkドライバーからのSSHのエージェントログアウト。	userName - containerId - instanceId

ベクトル検索イベント

次の vectorSearch イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
vectorSearch	createEndpoint	ユーザーがベクトル検索エンドポイントを作成します。	name - endpoint_type
vectorSearch	deleteEndpoint	ユーザーがベクトル検索エンドポイントを削除します。	name
vectorSearch	createVectorIndex	ユーザーがベクトル検索インデックスを作成します。	name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec
vectorSearch	deleteVectorIndex	ユーザーがベクトル検索インデックスを削除します。	name - endpoint_name - delete_embedding_writeback_table
vectorSearch	changeEndpointAcl	ユーザーがエンドポイントのアクセス制御リストを変更します。	name - endpoint_name - access_control_list
vectorSearch	queryVectorIndex	ユーザーはベクトル検索インデックスをクエリします。	name - endpoint_name
vectorSearch	queryVectorIndexNextPage	ユーザーは、ベクトル検索インデックスクエリのページ分割された結果を読み取ります。	name - endpoint_name
vectorSearch	scanVectorIndex	ユーザーは、ベクトル検索インデックス内のすべてのデータをスキャンします。	name - endpoint_name
vectorSearch	upsertDataVectorIndex	ユーザーは、Direct Access ベクトル検索インデックスのデータをアップサートします。	name - endpoint_name
vectorSearch	deleteDataVectorIndex	ユーザーが Direct Access ベクトル検索インデックスのデータを削除します。	name - endpoint_name
vectorSearch	queryVectorIndexRouteOptimized	ユーザーは、低レイテンシの API ルートを使用してベクトル検索インデックスをクエリします。	name - endpoint_name
vectorSearch	queryVectorIndexNextPageRouteOptimized	ユーザーは、低レイテンシの API ルートを使用して、ベクトル検索インデックス クエリのページ分割された結果を読み取ります。	name - endpoint_name
vectorSearch	scanVectorIndexRouteOptimized	ユーザーは、低遅延の API ルートを使用して、ベクトル検索インデックス内のすべてのデータをスキャンします。	name - endpoint_name
vectorSearch	upsertDataVectorIndexRouteOptimized	ユーザーは、低遅延の API ルートを使用して、Direct Access ベクトル検索インデックスのデータをアップサートします。	name - endpoint_name
vectorSearch	deleteDataVectorIndexRouteOptimized	ユーザーは、低遅延の API ルートを使用して Direct Access ベクトル検索インデックスのデータを削除します。	name - endpoint_name

Webターミナルイベント

次の webTerminal イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
webTerminal	startSession	ユーザーがWebターミナルセッションを開始します。	socketGUID - clusterId - serverPort - ProxyTargetURI
webTerminal	closeSession	ユーザーがWebターミナルセッションを閉じます。	socketGUID - clusterId - serverPort - ProxyTargetURI

ワークスペースのイベント

次の workspace イベントは、ワークスペース レベルでログに記録されます。

サービス	アクション名	説明	リクエストパラメーター
workspace	changeWorkspaceAcl	ワークスペースへのアクセス許可が変更されます。	shardName - targetUserId - aclPermissionSet - resourceId
workspace	deleteSetting	設定がワークスペースから削除されます。	settingKeyTypeName - settingKeyName - settingTypeName - settingName
workspace	fileCreate	ユーザーがワークスペースにファイルを作成します。	path
workspace	fileDelete	ユーザーがワークスペース内のファイルを削除します。	path
workspace	fileEditorOpenEvent	ユーザーがファイルエディタを開きます。	notebookId - path
workspace	getRoleAssignment	ユーザーは、ワークスペースのユーザー ロールを取得します。	account_id - workspace_id
workspace	mintOAuthAuthorizationCode	社内の OAuth 認証コードがワークスペース レベルで作成されるときに記録されます。	client_id
workspace	mintOAuthToken	OAuth トークンはワークスペースに対して作成されます。	grant_type - scope - expires_in - client_id
workspace	moveWorkspaceNode	ワークスペース管理者がワークスペース ノードを移動します。	destinationPath - path
workspace	purgeWorkspaceNodes	ワークスペース管理者は、ワークスペース ノードをパージします。	treestoreId
workspace	reattachHomeFolder	既存のホームフォルダーは、ワークスペースに再追加されたユーザーに対して再アタッチされます。	path
workspace	renameWorkspaceNode	ワークスペース管理者がワークスペース ノードの名前を変更します。	path - destinationPath
workspace	unmarkHomeFolder	ホームフォルダー 特殊属性は、ユーザーがワークスペースから削除されると削除されます。	path
workspace	updateRoleAssignment	ワークスペース管理者は、ワークスペース ユーザーのロールを更新します。	account_id - workspace_id - principal_id
workspace	updatePermissionAssignment	ワークスペース管理者がワークスペースにプリンシパルを追加します。	principal_id - permissions
workspace	setSetting	ワークスペース管理者は、ワークスペースの設定を構成します。	settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
workspace	workspaceConfEdit	ワークスペース管理者は、詳細監査ログを有効にするなど、設定を更新します。	workspaceConfKeys - workspaceConfValues
workspace	workspaceExport	ユーザーがワークスペースからノートブックをエクスポートします。	workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	OAuth クライアントはワークスペース サービスで認証されます。	user

アカウントアクセス制御イベント

次の accountsAccessControl イベントはアカウント レベルでログに記録され、 アカウントのアクセス制御 API (パブリック プレビュー) に関連しています。

サービス	アクション名	説明	リクエストパラメーター
accountsAccessControl	updateRuleSet	ユーザーは、アカウントアクセス制御 API を使用してルールセットを更新します。	account_id - name: ルールセットの名前 - rule_set - authz_identity

課金利用イベント

次の accountBillableUsage イベントは、アカウントレベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
accountBillableUsage	getAggregatedUsage	ユーザーは、Usage Graph機能を通じてアカウントの集計課金利用(Usage per Day)にアクセスしました。	account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter
accountBillableUsage	getDetailedUsage	ユーザーは、Usage Download機能を通じて、アカウントの詳細な課金利用(クラスタごとの利用状況)にアクセスしました。	account_id - start_month - end_month - with_pii

アカウントレベルのアカウント events

次の accounts イベントは、アカウントレベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
accounts	accountInHouseOAuthClientAuthentication	OAuth クライアントが認証されます。	endpoint - user: Eメール アドレスとして記録 - authenticationMethod
accounts	accountIpAclsValidationFailed	IP アクセス許可の検証に失敗しました。 statusCode 403 を返します。	sourceIpAddress - user: Eメール アドレスとして記録
accounts	activateUser	ユーザーは非アクティブ化された後に再アクティブ化されます。 「アカウントのユーザーを無効にする」を参照してください。	targetUserName - endpoint - targetUserId
accounts	add	ユーザーが Databricks アカウントに追加されます。	targetUserName - endpoint - targetUserId
accounts	addPrincipalToGroup	ユーザーがアカウント レベルのグループに追加されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	addPrincipalsToGroup	ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループに追加されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	createGroup	アカウント レベルのグループが作成されます。	endpoint - targetGroupId - targetGroupName
accounts	deactivateUser	ユーザーが非アクティブ化されました。 「アカウントのユーザーを無効にする」を参照してください。	targetUserName - endpoint - targetUserId
accounts	delete	ユーザーが Databricks アカウントから削除されます。	targetUserId - targetUserName - endpoint
accounts	deleteSetting	アカウント admin は、 Databricks アカウントから設定を削除します。	settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
accounts	garbageCollectDbToken	ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。	tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash
accounts	generateDbToken	ユーザーは、ユーザー設定から、またはサービスがトークンを生成するときにトークンを生成します。	tokenExpirationTime - tokenCreatedBy - tokenHash - userId
accounts	login	ユーザーがアカウントコンソールにログインします。	user - authenticationMethod
accounts	logout	ユーザーがアカウントコンソールからログアウトします。	user
accounts	mintOAuthAuthorizationCode	社内のOAuth認証コードがアカウントレベルで作成されるときに記録されます。	client_id
accounts	mintOAuthToken	アカウント レベルの OAuth トークンがサービスプリンシパルに発行されます。	grant_type - scope - expires_in - client_id
accounts	oidcBrowserLogin	ユーザーは、OpenID Connect ブラウザーワークフローを使用して自分のアカウントにログインします。	user
accounts	oidcTokenAuthorization	OIDC トークンは、アカウント管理者ログインに対して認証されます。	user - authenticationMethod
accounts	passwordVerifyAuthentication	ユーザーのパスワードは、アカウントコンソールのログイン時に確認されます。	user
accounts	removeAccountAdmin	アカウント管理者が、他のユーザーからアカウント管理者権限を削除します。	targetUserName - endpoint - targetUserId
accounts	removeGroup	アカウントがグループから削除されます。	targetGroupId - targetGroupName - endpoint
accounts	removePrincipalFromGroup	ユーザーがアカウント レベルのグループから削除されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	removePrincipalsFromGroup	ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループから削除されます。	targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accounts	setAccountAdmin	アカウント管理者が、アカウント管理者ロールを別のユーザーに割り当てます。	targetUserName - endpoint - targetUserId
accounts	setSetting	アカウント管理者がアカウントレベルの設定を更新します。	settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
accounts	tokenLogin	ユーザーはトークンを使用して Databricks にログインします。	tokenId - user - authenticationMethod
accounts	updateUser	アカウント管理者がユーザーアカウントを更新します。	targetUserName - endpoint - targetUserId
accounts	updateGroup	アカウント管理者は、アカウントレベルのグループを更新します。	endpoint - targetGroupId - targetGroupName
accounts	validateEmail	ユーザーがアカウント作成後にEメールを検証した場合。	endpoint - targetUserName - targetUserId

アカウント管理イベント

次の accountsManager イベントは、アカウントレベルでログに記録されます。 これらのイベントは、アカウント管理者がアカウントコンソールで行った設定に関係しています。

サービス	操作	説明	リクエストパラメーター
accountsManager	acceptTos	管理者は、ワークスペースのサービス利用規約に同意します。	workspace_id
accountsManager	accountUserResetPassword	アカウント管理者がユーザーのパスワードをリセットします。 また、リセット後にユーザーがパスワードを変更したかどうかもログに記録します。	wasPasswordChanged - serviceSource - targetUserId - userId - newPasswordSource
accountsManager	changeAccountOwner	アカウント オーナーの役割が別のアカウント 管理者に移行されます。	account_id - first_name - last_name - email
accountsManager	consolidateAccounts	アカウントは、Databricks によって別のアカウントと統合されました。	target_account_id - account_ids_to_consolidate
accountsManager	createCredentialsConfiguration	アカウント管理者が資格情報の設定を作成しました。	credentials
accountsManager	createCustomerManagedKeyConfiguration	アカウント admin は、顧客管理のキー構成を作成しました。	customer_managed_key
accountsManager	createNetworkConfiguration	アカウント管理者がネットワーク設定を作成しました。	network
accountsManager	createNetworkConnectivityConfig	アカウント管理者がネットワーク接続構成を作成しました。	network_connectivity_config - account_id
accountsManager	createPrivateAccessSettings	アカウント管理者が非公開アクセス設定の構成を作成しました。	private_access_settings
accountsManager	createStorageConfiguration	アカウント管理者がストレージ構成を作成しました。	storage_configuration
accountsManager	createVpcEndpoint	アカウント管理者が VPC エンドポイント設定を作成しました。	vpc_endpoint
accountsManager	createWorkspaceConfiguration	アカウント管理者が新しいワークスペースを作成します。 workspace request パラメーターは、workspace_nameを含む deployment 情報の配列です。workspace_idは response.result パラメーターで確認できます。	workspace
accountsManager	deleteCredentialsConfiguration	アカウント管理者が資格情報の設定を削除しました。	account_id - credentials_id
accountsManager	deleteCustomerManagedKeyConfiguration	アカウント admin が顧客管理キーの設定を削除しました。	account_id - customer_managed_key_id
accountsManager	deleteNetworkConfiguration	アカウント管理者がネットワーク設定を削除しました。	account_id - network_id
accountsManager	deletePrivateAccessSettings	アカウント管理者が非公開アクセス設定の構成を削除しました。	account_id - private_access_settings_id
accountsManager	deleteStorageConfiguration	アカウント管理者がストレージ設定を削除しました。	account_id - storage_configuration_id
accountsManager	deleteVpcEndpoint	アカウント管理者が VPC エンドポイント設定を削除しました。	account_id - vpc_endpoint_id
accountsManager	deleteWorkspaceConfiguration	アカウント管理者がワークスペースを削除しました。	account_id - workspace_id
accountsManager	getCredentialsConfiguration	アカウント管理者が資格情報の設定に関する詳細を要求します。	account_id - credentials_id
accountsManager	getCustomerManagedKeyConfiguration	アカウント admin は、顧客管理キーの構成に関する詳細を要求します。	account_id - customer_managed_key_id
accountsManager	getNetworkConfiguration	アカウント管理者がネットワーク設定に関する詳細を要求します。	account_id - network_id
accountsManager	getPrivateAccessSettings	アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。	account_id - private_access_settings_id
accountsManager	getStorageConfiguration	アカウント管理者がストレージ構成に関する詳細を要求します。	account_id - storage_configuration_id
accountsManager	getVpcEndpoint	アカウント管理者が VPC エンドポイント設定に関する詳細をリクエストします。	account_id - vpc_endpoint_id
accountsManager	getWorkspaceConfiguration	アカウント管理者がワークスペースの詳細を要求します。	account_id - workspace_id
accountsManager	listCredentialsConfigurations	アカウント admin は、アカウント内のすべての資格情報設定を一覧表示します。	account_id
accountsManager	listCustomerManagedKeyConfigurations	アカウント admin は、アカウント内のすべての顧客管理キー構成を一覧表示します。	account_id
accountsManager	listNetworkConfigurations	アカウント admin アカウント内のすべてのネットワーク設定を一覧表示します。	account_id
accountsManager	listPrivateAccessSettings	アカウント admin アカウント内のすべてのプライベートアクセス設定構成を一覧表示します。	account_id
accountsManager	listStorageConfigurations	アカウント admin アカウント内のすべてのストレージ構成が一覧表示されます。	account_id
accountsManager	listSubscriptions	アカウント admin には、すべてのアカウント請求サブスクリプションが一覧表示されます。	account_id
accountsManager	listVpcEndpoints	アカウント admin VPC アカウントのすべてのエンドポイント設定をリストしました。	account_id
accountsManager	listWorkspaceConfigurations	アカウント admin アカウント内のすべてのワークスペースが一覧表示されます。	account_id
accountsManager	listWorkspaceEncryptionKeyRecords	アカウント管理者は、特定のワークスペース内のすべての暗号化キーレコードを一覧表示します。	account_id - workspace_id
accountsManager	listWorkspaceEncryptionKeyRecordsForAccount	アカウント admin アカウント内のすべての暗号化キーレコードを一覧表示します。	account_id
accountsManager	sendTos	Eメール は、 Databricks サービス利用規約に同意するためにワークスペース管理者に送信されました。	account_id - workspace_id
accountsManager	updateAccount	アカウントの詳細は内部で変更されました。	account_id - account
accountsManager	updateSubscription	アカウントの請求サブスクリプションが更新されました。	account_id - subscription_id - subscription
accountsManager	updateWorkspaceConfiguration	管理者がワークスペースの構成を更新しました。	account_id - workspace_id - network_connectivity_config_id

サーバレス 予算ポリシー イベント

次の budgetPolicyCentral イベントはアカウントレベルでログに記録され、サーバレス 予算ポリシーに関連しています。 「サーバレス 予算ポリシーでの属性の使用」を参照してください。

サービス	操作	説明	リクエストパラメーター
budgetPolicyCentral	createBudgetPolicy	ワークスペース admin または billing admin は、サーバレス 予算ポリシーを作成します。 新しい policy_id は response 列に記録されます。	policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを更新します。	policy.policy_id - policy.policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを削除します。	policy_id

クリーンルームイベント

次の clean-room イベントは、アカウントレベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
clean-room	createCleanRoom	DatabricksアカウントのユーザーがUIまたはAPIを使用して新しいクリーンルームを作成します。	clean_room_name - cloud_vendor - collaborators - metastore_id - region - workspace_id
clean-room	createCleanRoomOutputCatalog	Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームに出力テーブルを作成します。	clean_room_name - output_catalog_name - metastore_id - workspace_id
clean-room	deleteCleanRoom	DatabricksアカウントのユーザーがUIまたはAPIを使用してクリーンルームを削除しました。	clean_room_name - metastore_id - workspace_id
clean-room	getCleanRoom	アカウントのユーザーは、UIまたは APIを使用してクリーンルームの詳細を取得します。	clean_room_name - metastore_id - workspace_id
clean-room	getCleanRoomAsset	アカウント内のユーザーは、UIを使用してクリーンルームのデータアセットの詳細を表示します。	asset_full_name - metastore_id - workspace_id - asset_type - clean_room_name - collaborator_global_metastore_id
clean-room	listCleanRooms	ユーザーは、ワークスペースUIを使用してすべてのクリーンルームのリストを取得するか、 APIを使用してメタストア内のすべてのクリーンルームのリストを取得します。	metastore_id - workspace_id
clean-room	updateCleanRoom	アカウントのユーザーがクリーンルームの詳細またはアセットを更新します。	added_assets - clean_room_name - owner - metastore_id - workspace_id - updated_assets - removed_assets

ログ配信イベント

次の logDelivery イベントは、アカウントレベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
logDelivery	createLogDeliveryConfiguration	管理者がログ配信構成を作成しました。	account_id - config_id
logDelivery	getLogDeliveryConfiguration	管理者がログ配信設定に関する詳細を要求しました。	log_delivery_configuration
logDelivery	listLogDeliveryConfigurations	管理者は、アカウント内のすべてのログ配信設定をリストしました。	account_id - storage_configuration_id - credentials_id - status
logDelivery	updateLogDeliveryConfiguration	管理者がログ配信設定を更新しました。	config_id - account_id - status

Oauth SSO イベント

次の oauth2 イベントはアカウントレベルでログに記録され、アカウントコンソールへの OAuth SSO 認証に関連しています。

サービス	操作	説明	リクエストパラメーター
oauth2	createCustomAppIntegration	ワークスペース管理者がカスタムアプリ統合を作成します。	redirect_url - name - token_access_policy - confidential
oauth2	createPublishedAppIntegration	ワークスペース管理者は、公開済みのアプリ統合を使用してアプリ統合を作成します。	app_id
oauth2	deleteCustomAppIntegration	ワークスペース管理者がカスタムアプリ統合を削除しました。	integration_id
oauth2	deletePublishedAppIntegration	ワークスペース管理者が公開済みアプリ統合を削除します。	integration_id
oauth2	enrollOAuth	ワークスペース管理者が OAuth にアカウントを登録します。	enable_all_published_apps
oauth2	updateCustomAppIntegration	ワークスペース管理者がカスタムアプリの統合を更新します。	redirect_url - name - token_access_policy - confidential
oauth2	updatePublishedAppIntegration	ワークスペース管理者が公開済みアプリの統合を更新します。	token_access_policy

サービスプリンシパル credentials events (パブリック プレビュー)

次の servicePrincipalCredentials イベントは、アカウントレベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
servicePrincipalCredentials	create	アカウント admin は、サービスプリンシパルの OAuth シークレットを生成します。	account_id - service_principal - secret_id
servicePrincipalCredentials	list	アカウント admin は OAuth すべてのシークレットをサービスプリンシパルの下に一覧表示します。	account_id - service_principal
servicePrincipalCredentials	delete	アカウント admin は、サービスプリンシパルの OAuth シークレットを削除します。	account_id - service_principal - secret_id

シングルサインオンイベント

次の ssoConfigBackend イベントはアカウントレベルでログに記録され、アカウントコンソールの SSO 認証に関連しています。

サービス	操作	説明	リクエストパラメーター
ssoConfigBackend	create	アカウント admin は、構成 SSO アカウント コンソールを作成しました。	account_id - sso_type - config
ssoConfigBackend	get	アカウント admin は、アカウント コンソール SSO 設定に関する詳細を要求しました。	account_id - sso_type
ssoConfigBackend	update	アカウント admin がアカウント コンソール SSO 設定を更新しました。	account_id - sso_type - config

Unity Catalog イベント

次の監査イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスでログに記録されます。 Delta Sharing イベントについては、「 Delta Sharing イベント」を参照してください。 Unity Catalog の監査イベントは、イベントに応じて、ワークスペース レベルまたはアカウント レベルでログに記録できます。

サービス	操作	説明	リクエストパラメーター
unityCatalog	createMetastore	アカウント管理者がメタストアを作成します。	name - storage_root - workspace_id - metastore_id
unityCatalog	getMetastore	アカウント管理者がメタストア ID を要求します。	id - workspace_id - metastore_id
unityCatalog	getMetastoreSummary	アカウント管理者がメタストアに関する詳細を要求します。	workspace_id - metastore_id
unityCatalog	listMetastores	アカウント admin は、アカウント内のすべてのメタストアのリストを要求します。	workspace_id
unityCatalog	updateMetastore	アカウント管理者がメタストアを更新します。	id - owner - workspace_id - metastore_id
unityCatalog	deleteMetastore	アカウント管理者がメタストアを削除します。	id - force - workspace_id - metastore_id
unityCatalog	updateMetastoreAssignment	アカウント管理者は、メタストアのワークスペースの割り当てを更新します。	workspace_id - metastore_id - default_catalog_name
unityCatalog	createExternalLocation	アカウント admin は外部ロケーションを作成します。	name - skip_validation - url - credential_name - workspace_id - metastore_id
unityCatalog	getExternalLocation	アカウント admin は、外部ロケーションに関する詳細を要求します。	name_arg - include_browse - workspace_id - metastore_id
unityCatalog	listExternalLocations	アカウント admin request list of all outsidelocation in an account.	url - max_results - workspace_id - metastore_id
unityCatalog	updateExternalLocation	アカウント admin が外部ロケーションを更新します。	name_arg - owner - workspace_id - metastore_id
unityCatalog	deleteExternalLocation	アカウント admin が外部ロケーションを削除します。	name_arg - force - workspace_id - metastore_id
unityCatalog	createCatalog	ユーザーがカタログを作成します。	name - comment - workspace_id - metastore_id
unityCatalog	deleteCatalog	ユーザーがカタログを削除します。	name_arg - workspace_id - metastore_id
unityCatalog	getCatalog	ユーザーがカタログに関する詳細を要求します。	name_arg - dependent - workspace_id - metastore_id
unityCatalog	updateCatalog	ユーザーがカタログを更新します。	name_arg - isolation_mode - comment - workspace_id - metastore_id
unityCatalog	listCatalog	ユーザーが呼び出しを行って、メタストア内のすべてのカタログを一覧表示します。	name_arg - workspace_id - metastore_id
unityCatalog	createSchema	ユーザーがスキーマを作成します。	name - catalog_name - comment - workspace_id - metastore_id
unityCatalog	deleteSchema	ユーザーがスキーマを削除します。	full_name_arg - force - workspace_id - metastore_id
unityCatalog	getSchema	ユーザーがスキーマに関する詳細を要求します。	full_name_arg - dependent - workspace_id - metastore_id
unityCatalog	listSchema	ユーザーがカタログ内のすべてのスキーマのリストを要求します。	catalog_name
unityCatalog	updateSchema	ユーザーがスキーマを更新します。	full_name_arg - name - workspace_id - metastore_id - comment
unityCatalog	createStagingTable		name - catalog_name - schema_name - workspace_id - metastore_id
unityCatalog	createTable	ユーザーがテーブルを作成します。 request パラメーターは、作成されるテーブルのタイプによって異なります。	name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment
unityCatalog	deleteTable	ユーザーがテーブルを削除します。	full_name_arg - workspace_id - metastore_id
unityCatalog	getTable	ユーザーがテーブルの詳細を要求します。	include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	ユーザーが呼び出しを行って、スキーマ内のすべてのテーブルをリストします。	catalog_name - schema_name - workspace_id - metastore_id - include_browse
unityCatalog	listTableSummaries	ユーザーは、メタストア内のスキーマとカタログのテーブルの要約の配列を取得します。	catalog_name - schema_name_pattern - workspace_id - metastore_id
unityCatalog	updateTables	ユーザーがテーブルを更新します。 表示されるリクエスト・パラメータは、テーブル更新のタイプによって異なります。	full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id
unityCatalog	createStorageCredential	アカウント管理者がストレージ資格情報を作成します。 クラウドプロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。	name - comment - workspace_id - metastore_id
unityCatalog	listStorageCredentials	アカウント admin は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。	workspace_id - metastore_id
unityCatalog	getStorageCredential	アカウント管理者がストレージ資格情報に関する詳細を要求します。	name_arg - workspace_id - metastore_id
unityCatalog	updateStorageCredential	アカウント管理者がストレージ資格情報を更新します。	name_arg - owner - workspace_id - metastore_id
unityCatalog	deleteStorageCredential	アカウント管理者がストレージ資格情報を削除します。	name_arg - workspace_id - metastore_id
unityCatalog	generateTemporaryTableCredential	テーブルに一時的な認証情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何をクエリしたかを判断できます。	credential_id - credential_type - credential_kind - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id
unityCatalog	generateTemporaryPathCredential	パスに一時的な認証情報が付与されるたびにログに記録されます。	url - operation - make_path_only_parent - credential_kind - fallback_enabled - workspace_id - metastore_id
unityCatalog	checkPathAccess	特定のパスに対してユーザーのアクセス許可がチェックされるたびにログに記録されます。	path - fallback_enabled
unityCatalog	getPermissions	ユーザーが呼び出しを行って、セキュリティ保護可能なオブジェクトの権限の詳細を取得します。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。	securable_type - securable_full_name - workspace_id - metastore_id
unityCatalog	getEffectivePermissions	ユーザーは、セキュリティ保護可能なオブジェクトのすべての権限の詳細を取得するために呼び出しを行います。 有効なアクセス許可呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。	securable_type - securable_full_name - workspace_id - metastore_id
unityCatalog	updatePermissions	ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。	securable_type - changes - securable_full_name - workspace_id - metastore_id
unityCatalog	metadataSnapshot	ユーザーは、前のテーブル バージョンからメタデータをクエリします。	securables - include_delta_metadata - workspace_id - metastore_id
unityCatalog	metadataAndPermissionsSnapshot	ユーザーは、前のテーブル バージョンからメタデータとアクセス許可をクエリします。	securables - include_delta_metadata - workspace_id - metastore_id
unityCatalog	updateMetadataSnapshot	ユーザーが以前のテーブル バージョンからメタデータを更新します。	table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id
unityCatalog	getForeignCredentials	ユーザーは、外部キーに関する詳細を取得するために呼び出しを行います。	securables - workspace_id - metastore_id
unityCatalog	getInformationSchema	ユーザーが呼び出しを行って、スキーマに関する詳細を取得します。	table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id
unityCatalog	createConstraint	ユーザーがテーブルの制約を作成します。	full_name_arg - constraint - workspace_id - metastore_id
unityCatalog	deleteConstraint	ユーザーがテーブルの制約を削除します。	full_name_arg - constraint - workspace_id - metastore_id
unityCatalog	createPipeline	ユーザーが Unity Catalog パイプラインを作成します。	target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id
unityCatalog	updatePipeline	ユーザーが Unity Catalog パイプラインを更新します。	id_arg - definition_json - id - workspace_id - metastore_id
unityCatalog	getPipeline	ユーザーが Unity Catalog パイプラインに関する詳細を要求します。	id - workspace_id - metastore_id
unityCatalog	deletePipeline	ユーザーが Unity Catalog パイプラインを削除します。	id - workspace_id - metastore_id
unityCatalog	deleteResourceFailure	リソースの削除に失敗する	なし
unityCatalog	createVolume	ユーザーが Unity Catalog ボリュームを作成します。	name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id
unityCatalog	getVolume	ユーザーは、Unity Catalog ボリュームに関する情報を取得するために呼び出しを行います。	volume_full_name - workspace_id - metastore_id
unityCatalog	updateVolume	ユーザーは、Unity Catalog ボリュームのメタデータを ALTER VOLUME または COMMENT ON 呼び出しで更新します。	volume_full_name - name - owner - comment - workspace_id - metastore_id
unityCatalog	deleteVolume	ユーザーが Unity Catalog ボリュームを削除します。	volume_full_name - workspace_id - metastore_id
unityCatalog	listVolumes	ユーザーは、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得するために呼び出しを行います。	catalog_name - schema_name - workspace_id - metastore_id
unityCatalog	generateTemporaryVolumeCredential	一時的な認証情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行するときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。	volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - credential_kind - workspace_id - metastore_id
unityCatalog	getTagSecurableAssignments	セキュリティ保護可能なリソースのタグ割り当てがフェッチされます	securable_type - securable_full_name - workspace_id - metastore_id
unityCatalog	getTagSubentityAssignments	サブエンティティのタグ割り当てがフェッチされます	securable_type - securable_full_name - workspace_id - metastore_id - subentity_name
unityCatalog	UpdateTagSecurableAssignments	セキュリティ保護可能なリソースのタグ割り当てが更新されました	securable_type - securable_full_name - workspace_id - metastore_id - changes
unityCatalog	UpdateTagSubentityAssignments	サブエンティティのタグ割り当てが更新される	securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes
unityCatalog	createRegisteredModel	ユーザーが Unity Catalog 登録モデルを作成します。	name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id
unityCatalog	getRegisteredModel	ユーザーが Unity Catalog 登録したモデルの情報を取得するために電話をかけます。	full_name_arg - workspace_id - metastore_id
unityCatalog	updateRegisteredModel	ユーザーが Unity Catalog に登録されたモデルのメタデータを更新します。	full_name_arg - name - owner - comment - workspace_id - metastore_id
unityCatalog	deleteRegisteredModel	ユーザーが Unity Catalog に登録されたモデルを削除します。	full_name_arg - workspace_id - metastore_id
unityCatalog	listRegisteredModels	ユーザーは、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ間でモデルを一覧表示するために呼び出しを行います。	catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id
unityCatalog	createModelVersion	ユーザーが Unity Catalog にモデル バージョンを作成します。	catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id
unityCatalog	finalizeModelVersion	ユーザーは、モデルバージョンのファイルをその保存場所にアップロードした後、Unity Catalog モデルバージョンを「ファイナライズ」する呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。	full_name_arg - version_arg - workspace_id - metastore_id
unityCatalog	getModelVersion	ユーザーは、モデル バージョンの詳細を取得するために呼び出しを行います。	full_name_arg - version_arg - workspace_id - metastore_id
unityCatalog	getModelVersionByAlias	ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。	full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id
unityCatalog	updateModelVersion	ユーザーがモデル バージョンのメタデータを更新します。	full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id
unityCatalog	deleteModelVersion	ユーザーがモデルバージョンを削除します。	full_name_arg - version_arg - workspace_id - metastore_id
unityCatalog	listModelVersions	ユーザーは、登録済みモデル内の Unity Catalog モデルバージョンの一覧を取得するために呼び出しを行います。	catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id
unityCatalog	generateTemporaryModelVersionCredential	一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンが確定した後) を実行すると生成されます。 このイベントを使用して、モデル バージョンに誰がいつアクセスしたかを判断できます。	full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - credential_kind - workspace_id - metastore_id
unityCatalog	setRegisteredModelAlias	ユーザーが Unity Catalog に登録されたモデルにエイリアスを設定します。	full_name_arg - alias_arg - version
unityCatalog	deleteRegisteredModelAlias	ユーザーが Unity Catalog 登録モデルのエイリアスを削除します。	full_name_arg - alias_arg
unityCatalog	getModelVersionByAlias	ユーザーは、エイリアスによって Unity Catalog モデル バージョンを取得します。	full_name_arg - alias_arg
unityCatalog	createConnection	新しい外部接続が作成されます。	name - connection_type - workspace_id - metastore_id
unityCatalog	deleteConnection	外部接続が削除されました。	name_arg - workspace_id - metastore_id
unityCatalog	getConnection	外部接続が取得されます。	name_arg - workspace_id - metastore_id
unityCatalog	updateConnection	外部接続が更新されます。	name_arg - owner - workspace_id - metastore_id
unityCatalog	listConnections	メタストア内の外部接続が一覧表示されます。	workspace_id - metastore_id
unityCatalog	createFunction	ユーザーが新しい関数を作成します。	function_info - workspace_id - metastore_id
unityCatalog	updateFunction	ユーザーが関数を更新します。	full_name_arg - owner - workspace_id - metastore_id
unityCatalog	listFunctions	ユーザーが、特定の親カタログまたはスキーマ内のすべての関数のリストを要求しました。	catalog_name - schema_name - include_browse - workspace_id - metastore_id
unityCatalog	getFunction	ユーザーが親カタログまたはスキーマから関数を要求します。	full_name_arg - workspace_id - metastore_id
unityCatalog	deleteFunction	ユーザーが親カタログまたはスキーマから関数を要求します。	full_name_arg - workspace_id - metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos - metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos - metastore_id
unityCatalog	generateTemporaryServiceCredential	Databricks からクラウド サービス アカウントにアクセスするために、一時的な資格情報が生成されます。	credential_id - credential_type - credential_kind - workspace_id - metastore_id

Delta Sharing イベント

Delta Sharing イベントは、データ プロバイダーのアカウントに記録されたイベントと、データ受信者のアカウントに記録されたイベントの 2 つのセクションに分かれています。

Delta Sharing プロバイダー イベント

次の監査ログ イベントは、プロバイダーのアカウントに記録されます。 受信者が実行するアクションは、 deltaSharing プレフィックスで始まります。 これらの各ログには、共有データを管理するメタストアである request_params.metastore_idと、アクティビティを開始したユーザーの ID である userIdentity.emailも含まれます。

サービス	操作	説明	リクエストパラメーター
unityCatalog	deltaSharingListShares	データ受信者が共有のリストを要求します。	options:このリクエストで提供されるページネーションオプション。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetShare	データ受信者が共有に関する詳細を要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListSchemas	データ受信者は、共有スキーマのリストを要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - options:このリクエストで提供されるページネーションオプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllTables	データ受信者は、すべての共有テーブルのリストを要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListTables	データ受信者は、共有テーブルのリストを要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - options:このリクエストで提供されるページネーションオプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetTableMetadata	データ受信者は、テーブルのメタデータに関する詳細をリクエストします。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - predicateHints:クエリに含まれる述語。 - limitHints:返す最大行数。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetTableVersion	データ受信者は、テーブルバージョンに関する詳細を要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryTable	データ受信者が共有テーブルをクエリしたときにログに記録されます。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - predicateHints:クエリに含まれる述語。 - limitHints:返す最大行数。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryTableChanges	データ受信者がテーブルのデータを変更したときにログに記録されます。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - schema:スキーマの名前。 - name: テーブルの名前。 - cdf_options: チェンジデータフィード オプション。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueriedTable	データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照)	recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueriedTableChanges	データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.result フィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照)。	recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListNotebookFiles	データ受信者は、共有ノートブック ファイルの一覧を要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryNotebookFile	データ受信者は、共有ノートブック ファイルをクエリします。	file_name: ノートブックファイルの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListFunctions	データ受信者は、親スキーマ内の関数のリストを要求します。	share: 共有の名前。 - schema:関数の親スキーマの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllFunctions	データ受信者は、すべての共有機能のリストを要求します。	share: 共有の名前。 - schema:関数の親スキーマの名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListFunctionVersions	データ受信者は、機能バージョンの一覧を要求します。	share: 共有の名前。 - schema:関数の親スキーマの名前。 - function: 関数の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListVolumes	データ受信者は、スキーマ内の共有ボリュームのリストを要求します。	share: 共有の名前。 - schema: ボリュームの親スキーマ。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllVolumes	データ受信者がすべての共有ボリュームを要求します。	share: 共有の名前。 - recipient_name: アクションを実行する受信者を示します。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	updateMetastore	プロバイダーはメタストアを更新します。	delta_sharing_scope:値は INTERNAL または INTERNAL_AND_EXTERNALです。 - delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合は、受信者トークンの有効期間が更新されたことを示します。
unityCatalog	createRecipient	プロバイダーは、データ受信者を作成します。	name: 受信者の名前。 - comment: 受信者のコメント。 - ip_access_list.allowed_ip_addresses: 受信者の IP アドレスの許可リスト。
unityCatalog	deleteRecipient	プロバイダーはデータ受信者を削除します。	name: 受信者の名前。
unityCatalog	getRecipient	プロバイダーは、データ受信者に関する詳細を要求します。	name: 受信者の名前。
unityCatalog	listRecipients	プロバイダーは、すべてのデータ受信者の一覧を要求します。	なし
unityCatalog	rotateRecipientToken	プロバイダーは、受信者のトークンをローテーションします。	name: 受信者の名前。 - comment: rotation コマンドで指定したコメント。
unityCatalog	updateRecipient	プロバイダーは、データ受信者の属性を更新します。	name: 受信者の名前。 - updates:共有に追加または削除された受信者属性のJSON表現。
unityCatalog	createShare	プロバイダーは、データ受信者の属性を更新します。	name: 共有の名前。 - comment: 共有のコメント。
unityCatalog	deleteShare	プロバイダーは、データ受信者の属性を更新します。	name: 共有の名前。
unityCatalog	getShare	プロバイダーが共有に関する詳細を要求します。	name: 共有の名前。 - include_shared_objects: 共有のテーブル名がリクエストに含まれていたかどうか。
unityCatalog	updateShare	プロバイダーは、共有にデータ資産を追加または削除します。	name: 共有の名前。 - updates:共有に追加または削除されたデータアセットのJSON表現。 各項目には、 action (追加または削除)、 name (テーブルの実際の名前)、 shared_as (アセットが共有された名前 (実際の名前と異なる場合)、 partition_specification (パーティション仕様が指定されている場合) が含まれます。
unityCatalog	listShares	プロバイダーは、共有の一覧を要求します。	なし
unityCatalog	getSharePermissions	プロバイダーは、共有のアクセス許可の詳細を要求します。	name: 共有の名前。
unityCatalog	updateSharePermissions	プロバイダーは、共有のアクセス許可を更新します。	name: 共有の名前。 - changes:更新された権限のJSON表現。 各変更には、 principal (アクセス許可が付与または取り消されたユーザーまたはグループ)、 add (付与されたアクセス許可の一覧)、 remove (取り消されたアクセス許可の一覧) が含まれます。
unityCatalog	getRecipientSharePermissions	プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。	name: 共有の名前。
unityCatalog	getActivationUrlInfo	プロバイダーは、アクティブ化リンクでアクティビティの詳細を要求します。	recipient_name:アクティベーションURLを開いた受信者の名前。 - is_ip_access_denied: IPアクセスリストが設定されていない場合はなし。 それ以外の場合は、要求が拒否されたかどうか true 、要求が拒否されなかった場合は false します。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	generateTemporaryVolumeCredential	受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。	share_name:受信者が要求する共有の名前。 - share_id: 共有の ID。 - share_owner: 株式の所有者。 - recipient_name:資格情報を要求する受信者の名前。 - recipient_id: 受信者の ID。 - volume_full_name: ボリュームの完全な 3 レベルの名前。 - volume_id:ボリュームの ID。 - volume_storage_location: ボリュームルートのクラウドパス。 - operation: READ_VOLUME または WRITE_VOLUME。 ボリューム共有の場合、 READ_VOLUME のみがサポートされています。 - credential_id:資格情報の ID。 - credential_type: 資格情報のタイプ。 値は StorageCredential または ServiceCredentialです。 - credential_kind:アクセスの認証に使用する方法。 - workspace_id:要求が共有ボリュームに対するものである場合、値は常に 0 されます。
unityCatalog	generateTemporaryTableCredential	受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。	share_name:受信者が要求する共有の名前。 - share_id: 共有の ID。 - share_owner: 株式の所有者。 - recipient_name:資格情報を要求する受信者の名前。 - recipient_id: 受信者の ID。 - table_full_name: テーブルの完全な 3 レベルの名前。 - table_id: テーブルの ID。 - table_url: テーブルルートのクラウドパス。 - operation: READ または READ_WRITE。 - credential_id:資格情報の ID。 - credential_type: 資格情報のタイプ。 値は StorageCredential または ServiceCredentialです。 - credential_kind:アクセスの認証に使用する方法。 - workspace_id: 共有テーブルに対する要求の場合、値は常に 0 されます。

Delta Sharing 受信者イベント

次のイベントがデータ受信者のアカウントに記録されます。 これらのイベントは、共有データと AI アセットの受信者アクセスと、プロバイダーの管理に関連付けられたイベントを記録します。 これらの各イベントには、次の要求パラメーターも含まれます。

• recipient_name: データプロバイダのシステム内の受信者の名前。
• metastore_id: データ プロバイダのシステム内のメタストアの名前。
• sourceIPAddress: 要求の発信元の IP アドレス。

サービス	操作	説明	リクエストパラメーター
unityCatalog	deltaSharingProxyGetTableVersion	データ受信者は、共有テーブルバージョンの詳細を要求します。	share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。
unityCatalog	deltaSharingProxyGetTableMetadata	データ受信者は、共有テーブルのメタデータの詳細を要求します。	share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。
unityCatalog	deltaSharingProxyQueryTable	データ受信者は、共有テーブルをクエリします。	share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 - limitHints:返す最大行数。 - predicateHints:クエリに含まれる述語。 - version: テーブルバージョン(チェンジデータフィードが有効な場合)
unityCatalog	deltaSharingProxyQueryTableChanges	データ受信者は、テーブルの変更データをクエリします。	share: 共有の名前。 - schema:テーブルの親スキーマの名前。 - name: テーブルの名前。 - cdf_options: チェンジデータフィード オプション。
unityCatalog	createProvider	データ受信者は、プロバイダー オブジェクトを作成します。	name: プロバイダーの名前。 - comment: プロバイダーのコメント。
unityCatalog	updateProvider	データ受信者は、プロバイダー オブジェクトを更新します。	name: プロバイダーの名前。 - updates:共有に追加または削除されたプロバイダー属性のJSON表現。 各項目には action (追加または削除) が含まれ、 name (新しいプロバイダー名)、 owner (新しい所有者)、 commentを含めることができます。
unityCatalog	deleteProvider	データ受信者がプロバイダー オブジェクトを削除します。	name: プロバイダーの名前。
unityCatalog	getProvider	データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。	name: プロバイダーの名前。
unityCatalog	listProviders	データ受信者は、プロバイダーの一覧を要求します。	なし
unityCatalog	activateProvider	データ受信者は、プロバイダー オブジェクトをアクティブ化します。	name: プロバイダーの名前。
unityCatalog	listProviderShares	データ受信者は、プロバイダーの共有の一覧を要求します。	name: プロバイダーの名前。

追加のセキュリティモニタリングイベント

Databricksクラシック コンピュートプレーン 内の コンピュート リソース (VM for クラスターや Pro または クラシックSQL ウェアハウスなど) では、次の機能によって追加のモニタリング エージェントが有効になります。

• 強化されたセキュリティ監視
• コンプライアンス・セキュリティ・プロファイル。 コンプライアンス セキュリティ プロファイルは、PCI-DSS、HIPPA、および FedRAMP Moderateのコンプライアンス コントロールに必要です。

サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 「どのコンピュート リソースがセキュリティを強化するか」および「コンプライアンス セキュリティ プロファイル コンプライアンス標準とサーバレス コンピュート availability」を参照してください。

File integrity モニタリングイベント

次の capsule8-alerts-dataplane イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
capsule8-alerts-dataplane	Heartbeat	モニターがオンになっていることを確認するための定期的なイベント。 現在、10 分ごとに実行されています。	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	重要なシステムファイルの整合性を監視します。 これらのファイルに対する不正な変更に関するアラート。 Databricks はイメージ上の特定のシステム パスのセットを定義し、このパスのセットは時間の経過と共に変化する可能性があります。	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 systemdユニットファイルがsystemctl以外のプログラムによって変更されるたびにアラート .	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	プログラムがクラッシュすることが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、または影響を受けるアプリケーションに安定性の問題が存在することを示している可能性があります。 個々のプログラムの 5 つ以上のインスタンスがセグメンテーション フォールトによってクラッシュした場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	通常、コンテナーは静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されると、アラートが発生します。	instanceId
capsule8-alerts-dataplane	New File Executed in Container	多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	インタラクティブシェルは、現代の本番運用インフラストラクチャではめったに発生しません。 逆シェルで一般的に使用される引数を使用して対話型シェルが開始された場合のアラート。	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	コマンドログの回避は、攻撃者にとって一般的な方法ですが、正当なユーザーが不正なアクションを実行しているか、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザー・コマンド履歴ログの変更が検出された場合、ユーザーがコマンド・ログを回避しようとしていることを示すアラート。	instanceId
capsule8-alerts-dataplane	BPF Program Executed	一部の種類のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を獲得し、検出を回避するために BPF ベースのルートキットを読み込んでいることを示している可能性があります。 プロセスが新しい特権 BPF プログラムをロードしたときにアラートを生成します (そのプロセスがすでに進行中のインシデントの一部である場合)。	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして、検出を回避し、侵害されたノードで永続性を維持します。 カーネルモジュールがロードされたとき、プログラムがすでに進行中のインシデントの一部である場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	攻撃者は、正当なシステムプログラムまたはサービスになりすまそうとして、悪意のあるバイナリを作成したり、名前の末尾にスペースを含めたりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行した場合のアラート。	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	カーネル権限昇格の悪用は、通常、権限のないユーザーが権限変更のための標準ゲートを通過せずにルート権限を取得できるようにします。 プログラムが通常とは異なる手段で特権を昇格させようとした場合にアラートを生成します。 これにより、ワークロードが大きいノードで誤検出アラートが発行される可能性があります。	instanceId
capsule8-alerts-dataplane	Kernel Exploit	内部カーネル関数は通常のプログラムからアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを示す強力な指標となります。 カーネル関数が予期せずユーザー空間に戻ったときにアラートを出します。	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP と SMAP は、カーネルのエクスプロイトが成功するのを難しくするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル エクスプロイトの一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんした場合にアラートを生成します。	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	コンテナエスケープエクスプロイトで一般的に使用されるカーネル関数をプログラムが使用している場合にアラートを発し、攻撃者がコンテナアクセスからノードアクセスに権限を昇格させていることを示します。	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	特権コンテナはホストリソースに直接アクセスできるため、侵害された場合の影響は大きくなります。 特権コンテナが起動されたとき、コンテナが既知の特権イメージ kube-proxy でない場合にアラートを生成します。 これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。	instanceId
capsule8-alerts-dataplane	Userland Container Escape	多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナで作成されたファイルがコンテナの外部から実行されたときにアラートを出します。	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、カーネル エクスプロイトまたはルートキットによって AppArmor が無効にされたことを示します。 センサーの起動時に検出されたAppArmor構成からAppArmorの状態が変更されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 AppArmor プロファイルを変更するコマンドが実行されたとき (SSH セッションでユーザーによって実行されていない場合) にアラートを出します。	instanceId
capsule8-alerts-dataplane	Boot Files Modified	信頼できるソース (パッケージマネージャーや設定管理ツールなど) によって実行されない場合、ブートファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更したことを示している可能性があります。 /bootのファイルに変更が加えられたとき、新しいカーネルまたはブート設定のインストールを示すアラート。	instanceId
capsule8-alerts-dataplane	Log Files Deleted	ログ管理ツールによって実行されていないログの削除は、攻撃者が侵害の兆候を削除しようとしていることを示している可能性があります。 システム・ログ・ファイルの削除に関するアラート。	instanceId
capsule8-alerts-dataplane	New File Executed	システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルエクスプロイト、またはエクスプロイトチェーンの一部である可能性があります。 30 分以内に作成または変更されたファイルが実行された場合、システム更新プログラムによって作成されたファイルは除外されます。	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	ルート証明書ストアを変更すると、不正な認証局がインストールされ、ネットワーク トラフィックの傍受やコード署名の検証のバイパスが可能になります。 システム CA 証明書ストアが変更されたときにアラートを生成します。	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	setuid/setgidビットを設定すると、ノードでの権限昇格の永続的な方法を提供できます。chmod ファミリのシステムコールを含むファイルに setuid ビットまたは setgid ビットが設定されている場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	Hidden File Created	攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられたプロセスによって隠しファイルが作成されたときにアラートを生成します。	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	攻撃者は、システムユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システムユーティリティを変更する可能性があります。 一般的なシステム・ユーティリティーが無許可のプロセスによって変更された場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	攻撃者や不正なユーザーは、これらのプログラムを使用またはインストールして、接続されたネットワークを調査し、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラート。	instanceId
capsule8-alerts-dataplane	Network Service Created	攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワークサービスを開始する可能性があります。 プログラムが新しいネットワーク サービスを開始したときにアラート (プログラムがすでに進行中のインシデントの一部である場合)。	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	攻撃者や不正なユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	ファイル転送ツールを使用すると、攻撃者がツールセットを追加のホストに移動したり、データをリモートシステムに流出させたりしようとしていることを示している可能性があります。 リモート・ファイル・コピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	コマンド & Control チャンネルとクリプトコインマイナーは、多くの場合、異常なポートで新しいアウトバウンドネットワーク接続を作成します。 プログラムが一般的でないポートで新しい接続を開始したときにアラート (プログラムが既に進行中のインシデントの一部である場合)。	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出するデータのサイズを縮小する可能性があります。 データ圧縮プログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Process Injection	プロセス挿入手法の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示している場合もあります。 プログラムが ptrace (デバッグ) メカニズムを使用して別のプロセスと対話する場合にアラート。	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	攻撃者は、多くの場合、アカウント列挙プログラムを使用して、アクセスレベルを判断し、他のユーザーが現在ノードにログインしているかどうかを確認します。 アカウント列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを生成します。	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	ファイルシステムの探索は、攻撃者が関心のある資格情報とデータを探している一般的なエクスプロイト後の動作です。 ファイルおよびディレクトリの列挙に関連付けられたプログラムが実行されたとき (そのプログラムが既に進行中のインシデントの一部である場合に)、アラートを生成します。	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	攻撃者は、ローカルネットワークとルーティング情報を調査して、ラテラルムーブメントに先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	攻撃者は、ノードの目的や、セキュリティツールや監視ツールが配置されているかどうかを特定するために、実行中のプログラムをリストアップすることがよくあります。 プロセス列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	攻撃者は通常、システム列挙コマンドを実行して、Linuxカーネルとディストリビューションのバージョンと機能を特定し、多くの場合、ノードが特定の脆弱性の影響を受けているかどうかを特定します。 システム情報の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 crontab、 at、または batch コマンドを使用してスケジュールされたタスク設定を変更した場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 systemctlコマンドを使用してsystemdユニットを変更したときにアラートを出します。	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	root ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける能力が低下します。 suコマンドが実行されたときにアラートを出します。	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	sudoコマンドが実行されたときにアラートを出します。	instanceId
capsule8-alerts-dataplane	User Command History Cleared	履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。	instanceId
capsule8-alerts-dataplane	New System User Added	攻撃者は、信頼性の高いアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 新しいユーザー・エンティティがローカル・アカウント管理ファイル・ /etc/passwdに追加された場合に、そのエンティティがシステム更新プログラムによって追加されていない場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	Password Database Modification	攻撃者は、ID 関連のファイルを直接変更して、システムに新しいユーザーを追加する可能性があります。 アラート : ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新に関係のないプログラムによって変更された場合。	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	新しいSSH公開鍵を追加することは、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 ユーザーの SSH authorized_keys ファイルへの書き込みが試行された場合、プログラムが既に進行中のインシデントの一部である場合にアラート。	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	新しいユーザーを追加することは、攻撃者が侵害されたノードで永続性を確立する際の一般的な手順です。 ID 管理プログラムがパッケージ・マネージャー以外のプログラムによって実行される場合にアラートを出します。	instanceId
capsule8-alerts-dataplane	User Configuration Changes	履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。	instanceId
capsule8-alerts-dataplane	New System User Added	ユーザープロファイルと設定ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として変更されることがよくあります。 .bash_profile と bashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更された場合のアラート。	instanceId

ウイルス対策モニタリング イベント

注記

これらの監査ログの response JSON オブジェクトには、常に元のスキャン結果の 1 行を含む result フィールドがあります。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ・レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。

次の clamAVScanService-dataplane イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
clamAVScanService-dataplane	clamAVScanAction	アンチウイルス モニタリングはスキャンを実行します。 元のスキャン出力の各行に対してログが生成されます。	instanceId

システムログイベント

注記

監査ログ内の response JSON オブジェクトには、元のシステムログの内容を含む result フィールドがあります。

次の syslog イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
syslog	processEvent	システム・ログはイベントを処理します。	instanceId - processName

プロセス・モニター・ログ・イベント

次の monit イベントは、ワークスペース レベルでログに記録されます。

サービス	操作	説明	リクエストパラメーター
monit	processNotRunning	モニタは動作していません。	instanceId - processName
monit	processRestarting	モニタが再起動しています。	instanceId - processName
monit	processStarted	モニターが起動。	instanceId - processName
monit	processRunning	モニターは実行中です。	instanceId - processName

非推奨のログイベント

Databricks では、次の databrickssql 監査イベントが非推奨になりました。

• createAlertDestination (現在 createNotificationDestination)
• deleteAlertDestination (現在 deleteNotificationDestination)
• updateAlertDestination (現在 updateNotificationDestination)
• muteAlert
• unmuteAlert

SQLエンドポイント ログ

SQLSQL非推奨の エンドポイントAPI ( ウェアハウスの旧称) を使用して ウェアハウスを作成した場合、対応する監査イベント名にはSQL Endpoint``Warehouse[] ではなく [] という単語が含まれます。名前以外は、これらのイベントは SQLウェアハウス イベントと同じです。 これらのイベントの説明と要求パラメーターを表示するには、「 Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。

SQLエンドポイント イベントは次のとおりです。

• changeEndpointAcls
• createEndpoint
• editEndpoint
• startEndpoint
• stopEndpoint
• deleteEndpoint
• setEndpointConfig