監査ログの参照
この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。
アカウントの監査ログにアクセスしてクエリするには、 監査ログシステムテーブル (パブリックプレビュー) を使用します。
監査ログに関する考慮事項
- このリファレンスのサービスは、
audit_level別に整理されており、ワークスペースレベルのアクションが最初に表示され、アカウントレベルのアクションが続きます。 - アカウントレベルのアクションは 1 つのワークスペースに固有ではないため、アカウントレベルのログの
workspace_idは0として記録されます。 - ほとんどの監査ログには、ログが記録されているリージョンからのみアクセスできます。
ワークスペース レベルのイベント
次のサービスは、ワークスペース レベルで監査イベントをログに記録します。
アカウントイベント
次の accounts イベントがワークスペース レベルでログに記録されます。このサービスには、アカウント、ユーザー、グループ、および IP アクセス リストに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーのアカウントのログイン コードが認証されます。 |
|
|
| ユーザーは非アクティブ化された後に再アクティブ化されます。 「ワークスペースでのユーザーの非アクティブ化」を参照してください。 |
|
|
| ユーザーが Databricks ワークスペースに追加されます。 |
|
|
| ユーザーがワークスペース レベルのグループに追加されます。 |
|
|
| ユーザー アカウントは、認証に X509 証明書を使用して追加されます。 | |
|
| ユーザーは X509 認定を使用して Databricks にログインします。 |
|
|
| ユーザーの Databricks SQL アクセス許可が変更されます。 |
|
|
| ワークスペースへのアクセス許可が変更されます。 |
|
|
| アクセス トークンのアクセス許可が変更されます。 |
|
|
| Databricks アクセス トークンが無効になっています。 |
|
|
| ユーザーのパスワードが変更されました。 |
|
|
| パスワード変更の権限がアカウントで変更されている。 |
|
|
| サービスプリンシパルの権限が変更されたとき。 |
|
|
| アカウント 管理者 は、アカウントまたはサービスプリンシパルのフェデレーション ポリシーを作成します。 |
|
|
| ワークスペース レベルのグループが作成されます。 |
|
|
| IP アクセス リストがワークスペースに追加されます。 |
|
|
| ワークスペースでユーザーが非アクティブ化されています。 ワークスペースでのユーザーの非アクティブ化を参照してください。 |
|
|
| ユーザーが Databricks ワークスペースから削除されます。 |
|
|
| アカウント 管理者 がアカウントまたはサービスプリンシパル のフェデレーション ポリシーを削除します。 |
|
|
| IP アクセス リストがワークスペースから削除されます。 |
|
|
| ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
|
|
| ユーザーがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。 |
|
|
| ユーザーが拒否された IP を使用してサービスに接続しようとします。 |
|
|
|
| |
|
| ユーザーは JWT を使用して Databricks にログインします。 |
|
|
| ユーザーがワークスペースにログインします。 |
|
|
| ユーザーがワークスペースからログアウトします。 |
|
|
| User 新しいセキュリティ キーを登録する。 | |
|
| ユーザーがセキュリティ キーを削除します。 |
|
|
| ユーザーは MFA を使用して Databricks にログインします。 |
|
|
| API 呼び出しが汎用 OIDC/OAuth トークンを介して承認されている場合。 |
|
|
|
| |
|
| 有効期限が切れていないトークンの現在の数がトークン クォータを超えた場合。 | |
|
| ユーザーがワークスペース管理者の権限を取り消された場合。 |
|
|
| グループがワークスペースから削除されます。 |
|
|
| ユーザーがグループから削除されます。 |
|
|
| ユーザーのパスワードがリセットされます。 |
|
|
| ユーザーのトークンがワークスペースから削除されます。ユーザーが Databricks アカウントから削除されることによってトリガーできます。 |
|
|
| ユーザーは SAML SSO を使用して Databricks にログインします。 |
|
|
| ユーザーにはアカウント管理者権限が付与されます。 |
|
|
| ユーザーはトークンを使用して Databricks にログインします。 |
|
|
| アカウント admin は、アカウントまたはサービスプリンシパル federation ポリシーを更新します。 |
|
|
| IPアクセスリストが変更された。 |
|
|
| アカウント管理者は、ユーザーのアカウントを更新します。 |
|
|
| ユーザーがアカウント作成後にEメールを検証した場合。 |
|
|
| ユーザーのワークスペース スコープのログイン コードが認証されます。 |
|
AI/BIダッシュボード イベント
次の dashboards イベントがワークスペース レベルでログに記録されます。このサービスには、 AI/BIダッシュボードに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。 |
|
|
| ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、ダッシュボードの公開バージョンにアクセスします。 ワークスペースユーザーとアカウントユーザーの両方からのアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードのPDFスナップショットの受信は除きます。 |
|
|
| ユーザーがダッシュボードからクエリを実行します。 |
|
|
| ユーザーがダッシュボードからクエリをキャンセルしました。 |
|
|
| ユーザーは、ダッシュボードからクエリの結果を受け取ります。 |
|
|
| ユーザーは、ダッシュボードの PDF スナップショットをダウンロードします。 |
|
|
| ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。 要求パラメーターの値は、受信者のタイプによって異なります。Databricks 通知先の場合、 |
|
|
| ユーザーは、データセットやウィジェットなど、ドラフトダッシュボードの詳細にアクセスします。 |
|
|
| ユーザーは、UI または を使用して新しい を作成します。AI/BIダッシュボードAPI |
|
|
| AI/BIダッシュボードユーザーは、UI または を使用してAPI を更新します。 |
|
|
| ユーザーが AI/BIダッシュボードをクローンします。 |
|
|
| AI/BIダッシュボードユーザーは、UI または を使用して、埋め込み資格情報の有無にかかわらずAPI を公開します。 |
|
|
| ユーザーがAI/BIダッシュボード UI または を使用して公開済みのAPI を非公開にします。 |
|
|
| ユーザーは、ダッシュボード UI または Lakeview API コマンドを使用してダッシュボードをゴミ箱に移動します。このイベントは、これらのチャンネルを介して実行された場合にのみログに記録され、 ワークスペース アクション。 ワークスペース アクションを監査するには、「 ワークスペース イベント」を参照してください。 |
|
|
| ユーザーは、ダッシュボード UI またはコマンドを使用して、ごみ箱からAI/BI dashboardLakeview API復元します。このイベントは、これらのチャンネルを介して実行された場合にのみログに記録され、 ワークスペース アクション。 ワークスペース アクションを監査するには、「 ワークスペース イベント」を参照してください。 |
|
|
| ユーザーが DBSQL ダッシュボードを AI/BIダッシュボード. |
|
|
| ユーザーがEメール サブスクリプション スケジュールを作成します。 |
|
|
| ユーザーが AI/BIダッシュボードのスケジュールを更新します。 |
|
|
| ユーザーが AI/BIダッシュボードのスケジュールを削除します。 |
|
|
| ユーザーが Eメール デスティネーションを AI/BIダッシュボード スケジュールに登録します。 |
|
|
| ユーザーが Eメール デスティネーションを AI/BIダッシュボード スケジュールから削除しました。 |
|
AI/BI Genie イベント
次の aibiGenie イベントがワークスペース レベルでログに記録されます。このサービスには、 AI/BI Genie spacesに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが新しい Genieスペースを作成します。 新しいスペースの | |
|
| ユーザーが Genie 会話に新しいファイルをアップロードする |
|
|
| ユーザーが Genie 会話からファイルを削除する |
|
|
| ユーザーが Genieスペースにアクセスします。 |
|
|
| ユーザーは、使用可能なすべての Genie spacesをリストします。 | |
|
| ユーザーが Genieスペースの設定を更新します。 これには、タイトル、説明、ウェアハウス、テーブル、サンプルの質問、および共有スペースがパブリッシャーの資格情報を埋め込むか、閲覧者の資格情報で認証するかを決定する [実行者 ] 設定が含まれます。 |
|
|
| Genieスペースがゴミ箱に移動されます。 |
|
|
| ユーザーが Genieスペースをクローニングします。 |
|
|
| ユーザーは、 Genieを使用して スペースの詳細にアクセスします。API |
|
|
| ユーザーが Genieスペースに新しい会話スレッドを作成します。 |
|
|
| ユーザーは、 Genieスペースで会話のリストを開きます。 |
|
|
| ユーザーは、API を使用してメッセージで会話スレッドを開始します。 |
|
|
| ユーザーが Genieスペースで会話スレッドを開きます。 |
|
|
| ユーザーが会話スレッドのタイトルを更新します。 |
|
|
| ユーザーが Genieスペース内の会話スレッドを削除します。 |
|
|
| ユーザーが新しいメッセージを Genieスペースに送信します。 |
|
|
| ユーザーは、API を使用して会話で新しいメッセージを作成します。 |
|
|
| ユーザーが Genieスペース内のメッセージにアクセスします。 |
|
|
| ユーザーは、API を使用して会話内の特定のメッセージを取得します。 |
|
|
| ユーザーが既存のメッセージを削除しました。 |
|
|
| Genie は、API を使用して会話メッセージに関連付けられたクエリ結果を取得します。 |
|
|
| ユーザーは、API を使用してメッセージ添付ファイルのクエリ結果を取得します。 |
|
|
| ユーザーは、API を使用して完全なクエリ結果を取得します (最大 ~1 GB のサイズ)。 |
|
|
| Genieは、生成されたSQLを実行して、APIを使用したデータ更新アクションを含むクエリ結果を返します。 |
|
|
| Genie は、API を使用してメッセージ添付ファイルの結果のクエリを実行します。 |
|
|
| Genie は、会話メッセージに関連付けられたクエリ結果を取得します。 |
|
|
| ユーザーが Genieスペースの指示を作成します。 |
|
|
| ユーザーは、「指示」タブまたは「データ」タブに移動します。 |
|
|
| ユーザーが Genieスペースの指示を更新します。 |
|
|
| ユーザーが Genieスペースの指示を削除します。 |
|
|
| ユーザーがスペースのデフォルトのサンプル質問を更新します。 |
|
|
| ユーザーがサンプル問題またはベンチマーク問題を作成します。 |
|
|
| ユーザーがサンプルの質問またはベンチマークの質問を削除しました。 |
|
|
| ユーザーは、スペース内のサンプル質問またはベンチマーク質問のリストにアクセスします。 これは、ユーザーが新しいチャットを開いたり、ベンチマークを表示したり、サンプルの質問を追加したりするたびにログに記録されます。 |
|
|
| ユーザーがサンプルの質問またはベンチマークの質問を更新します。 |
|
|
| Genieは、評価実行で特定の質問に対する評価結果を作成します。 |
|
|
| ユーザーは、評価実行で特定の質問の結果にアクセスします。 |
|
|
| ユーザーは、評価実行で特定の質問のクエリ結果にアクセスします。 |
|
|
| ユーザーは、特定の質問の評価結果を更新します。 |
|
|
| ユーザーが新しい評価実行を作成します。 |
|
|
| ユーザーは、評価実行の結果の一覧にアクセスします。 |
|
|
| ユーザーは、すべての評価実行の一覧にアクセスします。 |
|
|
| ユーザーが会話メッセージにフィードバック コメントを追加します。 |
|
|
| ユーザーは、スペースからフィードバック コメントのリストにアクセスします。 |
|
|
| ユーザーが会話メッセージに追加されたフィードバック コメントを削除します。 |
|
アラート イベント
ベータ版
この機能は ベータ版です。
次の alerts イベントがワークスペース レベルでログに記録されます。このサービスには 、アラートに関連するイベントが含まれます。
このサービスは、従来のアラート イベントを記録しません。従来のアラート イベントは、 databrickssql サービスでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、アラート V2 APIを使用してアラートを作成します。 |
|
|
| ユーザーは、アラート V2 APIを使用してアラートを受け取ります。 |
|
|
| ユーザーがアラート V2 APIを使用してアラートを削除します。 |
|
|
| ユーザーは、アラート V2 APIを使用してアラートを更新します。 |
|
|
| ユーザーが既存のアラートを複製します。 |
|
|
| ユーザーが新しいアラートを作成します。 |
|
|
| ユーザーは、UI を使用してアラートに関する情報を取得します。 |
|
|
| テスト条件 機能は、アラートテストの結果を返します。 |
|
|
| ユーザーは、 テスト条件 機能を使用して、アラートをプレビューおよびテストします。 |
|
|
| ユーザーが [ 今すぐ実行 ] ボタンをクリックすると、アラート クエリがすぐに実行されます。 |
|
|
| ユーザーがアラートの詳細を更新します。 |
|
クラスター イベント
次の cluster イベントがワークスペース レベルでログに記録されます。このサービスには 、クラシッククラスタリングに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| クラスタリングは自動的に更新されます。 |
|
|
| ユーザーがクラスター ACLを変更します。 |
|
|
| ユーザーがクラスターを作成します。 |
|
|
| クラスター作成の結果。 |
|
|
| クラスターが終了します。 |
|
|
| クラスターの終了の結果。 |
|
|
| ユーザーがクラスター設定を変更します。 これにより、クラスター サイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。 |
|
|
| クラスターが UI から削除されます。 |
|
|
| クラスターのサイズが変更されます。 これは、クラスター サイズまたはオートスケールの動作のいずれかを変更する唯一のプロパティである稼働中のクラスターに記録されます。 |
|
|
| クラスターのサイズ変更の結果。 |
|
|
| ユーザーが稼働中のクラスターを再起動します。 |
|
|
| クラスターの再起動の結果。 |
|
|
| ユーザーがクラスターを開始します。 |
|
|
| クラスター開始の結果。 |
|
クラスター ライブラリ イベント
次の clusterLibraries ワークスペース レベルでログに記録されたイベントです。このサービスには 、コンピュートスコープのライブラリに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがクラスターにライブラリをインストールします。 |
|
|
| ユーザーがクラスター上のライブラリをアンインストールします。 |
|
|
| ワークスペース管理者は、ライブラリをすべてのクラスターにインストールするようにスケジュールします。 |
|
|
| ワークスペース管理者は、ライブラリをリストから削除して、すべてのクラスターにインストールします。 |
|
クラスターポリシー イベント
次の clusterPolicies イベントがワークスペース レベルでログに記録されます。このサービスには 、コンピュート ポリシーに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがクラスターポリシーを作成しました。 |
|
|
| ユーザーがクラスターポリシーを編集しました。 |
|
|
| ユーザーがクラスターポリシーを削除しました。 |
|
|
| ワークスペース管理者がクラスターポリシーのアクセス許可を変更します。 |
|
Databricks Apps イベント
次の apps イベントがワークスペース レベルでログに記録されます。このサービスには、 Databricks アプリに関連するイベントが含まれます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、アプリのUIまたはAPIを使用してカスタムアプリを作成します。 |
|
|
| ユーザーは、アプリの UI または API を使用してテンプレート アプリをインストールします。 |
|
|
| ユーザーは、アプリの UI または API を使用してアプリを更新します。 |
|
|
| ユーザーは、アプリの UI または APIを使用してアプリのコンピュートを起動します。 |
|
|
| ユーザーは、アプリの UI または APIを使用してアプリのコンピュートを停止します。 |
|
|
| ユーザーは、アプリの UI または API を使用してアプリをデプロイします。 |
|
|
| ユーザーがアプリのUIまたはAPIを使用してアプリを削除します。 |
|
|
| ユーザーは、アプリの UI または API を使用してアプリのアクセスを更新します。 |
|
Databricks SQL イベント
次の databrickssql イベントがワークスペース レベルでログに記録されます。このサービスには、 Databricks SQL に関連するイベントが含まれています。
従来の エンドポイント を使用して SQLウェアハウスを管理している場合、SQLAPI SQLウェアハウスの監査イベントには異なるアクション名が付けられます。エンドポイント ログSQLを参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| クエリの実行は、SQL エディターの UI からキャンセルされます。 これには、クエリー履歴 UI または Databricks SQL Execution APIから発生したキャンセルは含まれません。 |
|
|
| ウェアハウス マネージャーは、 SQLウェアハウスのアクセス許可を更新します。 |
|
|
| ユーザーがワークスペース ブラウザーでフォルダーを複製します。 |
|
|
| 詳細な監査ログのみ。 SQLウェアハウスのコマンドが完了またはキャンセルされたときに、キャンセル要求の発生元に関係なく生成されます。 |
|
|
| 詳細な監査ログのみ。 コマンドが SQLウェアハウスに送信されると、要求の発生元に関係なく生成されます。 |
|
|
| ユーザーが 従来のアラートを作成します。 |
|
|
| ユーザーが新しいクエリを作成します。 |
|
|
| ユーザーが SQL エディター ページでクエリを開くか、Databricks SQL クエリ取得 API を呼び出します。従来の SQL エディターまたは Databricks SQL REST API が使用されている場合にのみ出力されます。 |
|
|
| ユーザーがクエリの下書きを作成します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| ユーザーがクエリスニペットを作成します。 |
|
|
| ユーザーは、SQL エディターを使用して視覚化を生成します。SQLウェアハウスを利用するノートブックのデフォルトの結果テーブルとビジュアライゼーションは除外されます。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| クラスター作成権限を持つユーザーは、 SQLウェアハウスを作成します。 |
|
|
| ユーザーが API を使用して 従来のアラート を削除します。ファイルブラウザのUIまたは従来のアラートインターフェイスからの削除を除外します。 |
|
|
| ワークスペース管理者が通知先を削除します。 |
|
|
| ユーザーは、ダッシュボードインターフェースから、または API を使用してダッシュボードを削除します。 ファイルブラウザのUIによる削除は除外されます。 |
|
|
| ユーザーがダッシュボードウィジェットを削除しました。 |
|
|
| ウェアハウス マネージャーが SQLウェアハウスを削除します。 |
|
|
| ユーザーは、クエリ インターフェイスから、または API を使用してクエリを削除します。 ファイルブラウザのUIによる削除は除外されます。 |
|
|
| ユーザーがクエリの下書きを削除します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| ユーザーがクエリ スニペットを削除します。 |
|
|
| ユーザーが SQL エディターでクエリからビジュアライゼーションを削除します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| ユーザーが SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードは除外されます。 |
|
|
| ウェアハウス マネージャーは、 SQLウェアハウスを編集します。 |
|
|
| 次のいずれかによって生成されます。 - ユーザーが SQL エディターでクエリの下書きを実行する - クエリは、視覚化された集計から実行されます - ユーザーがダッシュボードを読み込み、基になるクエリを実行する |
|
|
| ユーザーが保存したクエリを実行します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| クエリを実行するイベントによって生成され、ダッシュボードパネルが更新されます。 該当するイベントの例には、次のようなものがあります。 - 1 つのパネルの更新 - ダッシュボード全体の更新 - スケジュールされたダッシュボードの実行 - 64,000行を超えるパラメーターまたはフィルターの変更 |
|
|
| ユーザーがダッシュボードをお気に入りに登録する。 |
|
|
| ユーザーがクエリをお気に入りに登録します。 |
|
|
| ユーザーがクエリを複製します。 |
|
|
| ユーザーが 従来のアラート の詳細ページを開くか、従来のアラート取得 API を呼び出します。 |
|
|
| ユーザーは、ルックアップキーを使用して 1 つ以上のクエリ実行の詳細を取得します。 |
|
|
| ユーザーは、UI を使用してクエリ実行の詳細を取得します。 |
|
|
| ユーザーがクエリ履歴ページを開くか、クエリー履歴 List Queries APIを呼び出します。 |
|
|
| ユーザーは、API を使用して 従来のアラート をゴミ箱に移動します。ファイルブラウザのUIまたは従来のアラートインターフェイスからの削除を除外します。 |
|
|
| ユーザーがダッシュボードをゴミ箱に移動します。 |
|
|
| ユーザーがクエリをゴミ箱に移動します。 |
|
|
| ユーザーが 従来のアラート をゴミ箱から復元します。 |
|
|
| ユーザーがごみ箱からダッシュボードを復元します。 |
|
|
| ユーザーがごみ箱からクエリを復元します。 |
|
|
| ワークスペース管理者は、構成パラメーターやデータ アクセス プロパティなど、ワークスペースの SQLウェアハウス設定を更新します。 |
|
|
| ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。 |
|
|
| SQLウェアハウスが開始されます。 |
|
|
| ウェアハウス マネージャーは、 SQLウェアハウスを停止します。 autostopped ウェアハウスは除きます。 |
|
|
| ワークスペース管理者は、オブジェクト所有権の譲渡 API を通じて、ダッシュボード、クエリ、またはレガシー アラートの所有権をアクティブ ユーザーに譲渡します。UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。 |
|
|
| ユーザーがダッシュボードをお気に入りから削除します。 |
|
|
| ユーザーがお気に入りからクエリを削除します。 |
|
|
| ユーザーが 従来のアラートを更新します。 |
|
|
| ワークスペース管理者が通知先を更新します。 |
|
|
| ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ウィジェットのサイズまたは配置の変更 - ウィジェット パラメーターの追加または削除 |
|
|
| ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例を次に示します。 - ダッシュボード名の変更 - SQLウェアハウスへの変更 - [実行] 設定に変更する |
|
|
| ユーザーがワークスペース ブラウザーでフォルダー ノードを更新します。 |
|
|
| ワークスペース管理者は、ワークスペースの SQL 設定を更新します。 |
|
|
| ユーザーがクエリを更新します。 |
|
|
| ユーザーがクエリの下書きを更新します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| ユーザーがクエリ スニペットを更新します。 |
|
|
| ユーザーは、SQL エディターまたはダッシュボードからビジュアライゼーションを更新します。従来の SQL エディターが使用されている場合にのみ発行されます。 |
|
|
| ユーザーは、視覚化の背後にあるクエリを表示します。 | なし |
Data モニタリング イベント
次の dataMonitoring イベントがワークスペース レベルでログに記録されます。このサービスには 、レイクハウスモニタリングに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがモニターの更新をキャンセルします。 |
|
|
| ユーザーがモニターを作成します。 |
|
|
| ユーザーがモニターを削除します。 |
|
|
| ユーザーがモニターダッシュボードを再生成します。 |
|
|
| モニターは、スケジュールまたは手動で更新されます。 |
|
|
| ユーザーがモニターを更新します。 |
|
DBFS イベント
次の dbfs イベントがワークスペース レベルでログに記録されます。このサービスには 、DBFS に関連するイベントが含まれます。
DBFS イベントには、API 呼び出しと運用イベントの 2 種類があります。
DBFS API イベント
次の DBFS 監査イベントは、 DBFS REST API を介して書き込まれた場合にのみログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがストリームにデータのブロックを追加します。 これは、dbfs/create と組み合わせて使用し、データを DBFS にストリームします。 |
|
|
| ユーザーは、入力ハンドルで指定されたストリームを閉じます。 |
|
|
| ユーザーがストリームを開いて、DBFS にファイルを書き込みます。 |
|
|
| ユーザーが DBFS からファイルまたはディレクトリを削除します。 |
|
|
| ユーザーは、ファイルまたはディレクトリの情報を取得します。 |
|
|
| ユーザーが新しい DBFS ディレクトリを作成します。 |
|
|
| ユーザーが DBFS 内のある場所から別の場所に移動しました。 |
|
|
| ユーザーは、マルチパート フォーム投稿を使用して DBFS にファイルをアップロードします。 |
|
|
| ユーザーがファイルの内容を読み取る。 |
|
DBFS 運用イベント
次の DBFS 監査イベントは、コンピュート プレーンで発生します。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、特定の DBFS ロケーションにマウントポイントを作成します。 |
|
|
| ユーザーが特定の DBFS ロケーションのマウント ポイントを削除します。 |
|
特徴量ストアのイベント
次の featureStore イベントがワークスペース レベルでログに記録されます。このサービスには、 Databricks Feature Store に関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| コンシューマーが特徴量ストアに追加されます。 |
|
|
| 特徴量テーブルにデータソースが追加されます。 |
|
|
| 特徴量テーブルにプロデューサーが追加されます。 |
|
|
| パーミッションは特徴量テーブルで変更されます。 |
|
|
| フィーチャー仕様が作成されます。 |
|
|
| 特徴量テーブルが作成されます。 |
|
|
| 特徴量テーブルに特徴量が作成されます。 |
|
|
| 特徴量テーブルが削除されます。 |
|
|
| タグは特徴量テーブルから削除されます。 |
|
|
| 機能仕様 YAML が生成されます。 |
|
|
| ユーザーは Brickstore オンライン テーブル メタデータを取得します。 |
|
|
| ユーザーは、特徴量テーブルでコンシューマーを取得するために呼び出しを行います。 |
|
|
| ユーザーは、機能ストア全体のアクセス許可を取得します。 | なし |
|
| ユーザーが特徴量テーブルを取得するために呼び出しを行います。 |
|
|
| ユーザーが特徴量テーブル ID を取得するために呼び出しを行います。 |
|
|
| ユーザーは、機能を取得するために呼び出しを行います。 |
|
|
| ユーザーが呼び出しを行って、モデルサービングメタデータを取得します。 |
|
|
| ユーザーはオンラインで特徴量テーブルを取得します。 |
|
|
| ユーザーは、オンラインの特徴量テーブルの状態を取得します。 |
|
|
| ユーザーが電話をかけてオンラインストアの詳細を取得します。 |
|
|
| ユーザーはオンラインストアを取得します。 |
|
|
| ユーザーが呼び出しを行って、特徴量テーブルのタグを取得します。 |
|
|
| 特徴ストア クライアント イベントがログに記録されます。 |
|
|
| 特徴量テーブルを公開しています。 |
|
|
| ユーザーが特徴量テーブルを検索します。 |
|
|
| タグは特徴量テーブルに追加されます。 |
|
|
| 特徴量テーブルを更新しました。 |
|
ファイルイベント
次の filesystem イベントがワークスペース レベルでログに記録されます。このサービスには、ファイル API またはボリューム UI を使用したファイルの操作など、ファイル管理に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、ファイル API またはボリューム UI を使用してディレクトリを削除します。 |
|
|
| ユーザーは、ファイル API またはボリューム UI を使用してディレクトリの内容を一覧表示します。 |
|
|
| ユーザーは、ファイル API またはボリューム UI を使用してディレクトリに関する情報を取得します。 |
|
|
| ユーザーは、ファイル API またはボリューム UI を使用してディレクトリを作成します。 |
|
|
| ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。 |
|
|
| ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。 |
|
|
| ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。 |
|
|
| ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。 |
|
Genieイベント
次の genie イベントがワークスペース レベルでログに記録されます。このサービスには、サポート担当者によるリモートワークスペースアクセスに関連するイベントが含まれています。
このサービスは AI/BI Genieスペースとは無関係です。 AI/BI Genie イベントを参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| Databricks担当者は、顧客環境にアクセスする権限があります。 |
|
Git 資格情報イベント
次の gitCredentials イベントがワークスペース レベルでログに記録されます。このサービスには、 Databricks Git フォルダーの Git 資格情報に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが git 資格情報を作成します。 |
|
|
| ユーザーが git 資格情報を削除します。 |
|
|
| ユーザーは git 資格情報を取得します。 |
|
|
| ユーザーが git プロバイダーをリンクします。 |
|
|
| ユーザーがすべての git 資格情報を一覧表示する |
|
|
| ユーザーが git 資格情報を更新します。 |
|
Git フォルダのイベント
次の repos イベントがワークスペース レベルでログに記録されます。このサービスには、 Databricks Git フォルダーに関連するイベントが含まれます。gitCredentialsも参照してください。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがリポジトリのブランチをチェックアウトします。 |
|
|
| ユーザーがコミットしてリポジトリにプッシュします。 |
|
|
| ユーザーがワークスペースに Repo ジトリを作成する |
|
|
| ユーザーがリポジトリを削除します。 |
|
|
| ユーザーはリポジトリへのコミットを破棄します。 |
|
|
| ユーザーは、1 つのリポジトリに関する情報を取得するために呼び出しを行います。 |
|
|
| ユーザーが呼び出しを行って、管理アクセス許可を持つすべてのリポジトリを取得します。 |
|
|
| ユーザーがリポジトリから最新のコミットをプルします。 |
|
|
| ユーザーがリポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。 |
|
グローバルinitスクリプトイベント
次の globalInitScripts イベントがワークスペース レベルでログに記録されます。このサービスには 、グローバル initスクリプトに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース管理者は、グローバル初期化スクリプトを作成します。 |
|
|
| ワークスペース管理者がグローバル初期化スクリプトを更新します。 |
|
|
| ワークスペース管理者がグローバル初期化スクリプトを削除します。 |
|
グループイベント
次の groups イベントがワークスペース レベルでログに記録されます。このサービスには、アカウントおよびワークスペースグループに関連するイベントが含まれます。これらのアクションは、レガシー ACL グループに関連しています。アカウントとワークスペースレベルのグループに関連するアクションについては、「 アカウントイベント 」と 「アカウントレベルのアカウントイベント」を参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| 管理者がユーザーをグループに追加します。 |
|
|
| 管理者がグループを作成します。 |
|
|
| 管理者は、グループ メンバーを表示します。 |
|
|
| 管理者がグループのリストを表示する | なし |
|
| 管理者は、継承されたグループを表示します | なし |
|
| 管理者がグループを削除した。 |
|
IAMロールイベント
次の iamRole イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース管理者が IAMロールの権限を変更します。 |
|
インジェストイベント
次の ingestion イベントはワークスペース レベルでログに記録され、ファイルのアップロードに関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが Databricks ワークスペースにファイルをアップロードします。 |
|
インスタンス・プール・イベント
次の instancePools イベントがワークスペース レベルでログに記録されます。このサービスには 、プールに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがインスタンス・プールの権限を変更します。 |
|
|
| ユーザーがインスタンス・プールを作成します。 |
|
|
| ユーザーがインスタンス・プールを削除します。 |
|
|
| ユーザーがインスタンス・プールを編集します。 |
|
ジョブイベント
次の jobs イベントがワークスペース レベルでログに記録されます。このサービスには、 ジョブに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ジョブの実行がキャンセルされます。 |
|
|
| ユーザーがジョブのすべての実行をキャンセルします。 |
|
|
| ユーザーがジョブのアクセス許可を更新します。 |
|
|
| ユーザーがジョブを作成します。 |
|
|
| ユーザーがジョブを削除します。 |
|
|
| ユーザーがジョブ実行を削除します。 |
|
|
| ユーザーが API 呼び出しを行って、実行出力を取得します。 |
|
|
| ユーザーがジョブの実行を修復します。 |
|
|
| ジョブがリセットされます。 |
|
|
| ユーザーがジョブの権限の変更を要求します。 |
|
|
| 詳細監査ログが有効な場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブックのセルに対応します。 |
|
|
| ジョブの実行が失敗するか、取り消されます。 |
|
|
| ユーザーがオンデマンドのジョブ実行をトリガーします。 |
|
|
| 検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから出力される要求パラメーターは、ジョブ内のタスクのタイプによって異なります。 一覧表示されているパラメーターに加えて、次のパラメーターを含めることができます。 - |
|
|
| ジョブの実行が成功しました。 |
|
|
| ジョブ・スケジュールは、そのスケジュールまたはトリガーに従って自動的にトリガーされます。 |
|
|
| Webhook は、ジョブが開始、完了、または失敗したときに送信されます。 |
|
|
| ユーザーがタスクの値を設定します。 |
|
|
| ユーザーは API を介して 1 回限りの実行を送信します。 |
|
|
| ユーザーがジョブの設定を編集します。 |
|
Lakebase イベント
ワークスペース レベルでログに記録される databaseInstances イベントを次に示します。このサービスには 、Lakebase に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが新しいデータベース・インスタンスを作成します。 |
|
|
| ユーザーがデータベース・インスタンスを照会します。 |
|
|
| ユーザーがすべてのデータベース・インスタンスを照会します。 | なし |
|
| ユーザーが既存のインスタンスのプロパティを更新します。たとえば、その容量や停止するかどうかなどです。 |
|
|
| ユーザーがインスタンスを物理的に削除します。 |
|
|
| ユーザーがデータベース・インスタンスのパーミッションを変更します。 | なし |
|
| ユーザーは、既存のデータベースに対してカタログを Unity Catalog 作成して登録します。 |
|
|
| ユーザーが登録済みカタログを Unity Catalogから登録解除します。 |
|
|
| ユーザーがデータベース・カタログを照会します。 |
|
|
| ユーザーは、データベース・インスタンス上のデータベース内にテーブルを作成します。 |
|
|
| ユーザーがデータベース・テーブルを照会します。 |
|
|
| ユーザーが Unity Catalogからデータベース テーブルを削除しました。 |
|
|
| ユーザーは、データベース・インスタンス上のデータベース内に同期テーブルを作成します。 |
|
|
| ユーザーが同期されたテーブルをクエリします。 |
|
|
| ユーザーが同期されたテーブルを Unity Catalogから削除しました。 |
|
LakeFlow 宣言型パイプラインイベント
次の deltaPipelines イベントがワークスペース レベルでログに記録されます。このサービスには、 LakeFlow Declarative パイプラインに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがパイプラインのアクセス許可を変更します。 |
|
|
| ユーザーが宣言型パイプラインを作成します。 |
|
|
| ユーザーが宣言型パイプラインを削除します。 |
|
|
| ユーザーが宣言型パイプラインを編集します。 |
|
|
| ユーザーが宣言型パイプラインを再起動します。 |
|
|
| ユーザーが宣言型パイプラインを停止します。 |
|
リネージ追跡イベント
次の lineageTracking イベントがワークスペース レベルでログに記録されます。このサービスには データリネージに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、列のアップストリーム列またはダウンストリーム列のリストにアクセスします。 |
|
|
| ユーザーは、セキュリティ保護可能なリソースのアップストリームまたはダウンストリームのセキュリティ保護可能なリソースの一覧にアクセスします。 |
|
|
| ユーザーは、セキュリティ保護可能なリソースに書き込んだり読み取ったりするエンティティ (ノートブック、ジョブなど) の一覧にアクセスします。 |
|
|
| ユーザーは、テーブルとその列の列リネージを取得します。 |
|
|
| ユーザーは、テーブルのアップストリームとダウンストリームのリネージを取得します。 |
|
|
| ユーザーは、ジョブのアップストリーム テーブルとダウンストリーム テーブル リネージを取得します。 |
|
|
| ユーザーは、関数のアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。 |
|
|
| ユーザーは、モデルとそのバージョンのアップストリームとダウンストリームのセキュリティ保護可能なリソースとエンティティ (ノートブック、ジョブなど) を取得します。 |
|
|
| ユーザーは、エンティティ (ノートブック、ジョブなど) のアップストリーム テーブルとダウンストリーム テーブルを取得します。 |
|
|
| ユーザーは、テーブルの頻繁に結合されるテーブルを取得します。 |
|
|
| ユーザーは、テーブルに対する頻繁なクエリを取得します。 |
|
|
| ユーザーは、テーブルの頻繁なユーザーを取得します。 |
|
|
| ユーザーは、過去 1 か月間のテーブルの人気度 (クエリ数) を取得します。 |
|
|
| ユーザーは、テーブルの一般的なエンティティ (ノートブック、ジョブなど) を取得します。 |
|
|
| ユーザーは、テーブルのリストに対するテーブルの人気情報を取得します。 |
|
|
| ユーザーがエンティティのカスタムリネージをリストします。 |
|
|
| ユーザーは、エンティティ イベントに関連付けられているセキュリティ保護対象を一覧表示します。 |
|
Marketplace の消費者向けイベント
次の marketplaceConsumer イベントがワークスペース レベルでログに記録されます。このサービスには、Databricks Marketplace でのコンシューマー アクションに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、Databricks Marketplace を通じてデータ製品にアクセスできます。 |
|
|
| ユーザーが、プロバイダーの承認が必要なデータ製品へのアクセスを要求します。 |
|
Marketplace プロバイダー イベント
次の marketplaceProvider イベントがワークスペース レベルでログに記録されます。このサービスには、Databricks Marketplace のプロバイダー アクションに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| メタストア管理者は、プロバイダー プロファイルにリストを作成します。 |
|
|
| メタストア管理者は、プロバイダー プロファイルの一覧を更新します。 |
|
|
| メタストア管理者は、プロバイダー プロファイルの一覧を削除します。 |
|
|
| メタストア管理者は、データ製品の要求を承認または拒否します。 |
|
|
| メタストア管理者は、プロバイダー プロファイルを作成します。 |
|
|
| メタストア管理者は、プロバイダー プロファイルを更新します。 |
|
|
| メタストア管理者がプロバイダー プロファイルを削除します。 |
|
|
| プロバイダーは、プロバイダー プロファイルにファイルをアップロードします。 |
|
|
| プロバイダーは、プロバイダー プロファイルからファイルを削除します。 |
|
ACL イベントを含む MLflow アーティファクト
次の mlflowAcledArtifact イベントがワークスペース レベルでログに記録されます。このサービスには、ACLを使用したアーティファクト MLflow に関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがアーティファクトを読み取るために呼び出しを行います。 |
|
|
| ユーザーがアーティファクトへの書き込みを呼び出す。 |
|
MLflow エクスペリメントイベント
次の mlflowExperiment イベントがワークスペース レベルでログに記録されます。このサービスには、エクスペリメントに関するイベントが含まれMLflowます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが MLflow エクスペリメントを作成します。 |
|
|
| ユーザーが MLflow エクスペリメントを削除します。 |
|
|
| ユーザーが MLflow エクスペリメントを移動します。 |
|
|
| ユーザーが MLflow エクスペリメントを復元します。 |
|
|
| ユーザーが MLflow エクスペリメントの名前を変更します。 |
|
MLflow モデルレジストリ イベント
次の mlflowModelRegistry イベントがワークスペース レベルでログに記録されます。このサービスには、ワークスペースモデルレジストリに関連するイベントが含まれています。 Unity Catalog のモデルのアクティビティ ログについては、「 Unity Catalog イベント」を参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがモデル バージョン ステージの移行要求を承認します。 |
|
|
| ユーザーが登録済みモデルの権限を更新します。 |
|
|
| ユーザーがモデルバージョンにコメントを投稿します。 |
|
|
| ユーザーがモデルバージョンを作成します。 |
|
|
| ユーザーが新しい登録済みモデルを作成する |
|
|
| ユーザーが Model Registry イベントの Webhook を作成します。 |
|
|
| ユーザーがモデル バージョン ステージの移行要求を作成します。 |
|
|
| ユーザーがモデルバージョンのコメントを削除します。 |
|
|
| ユーザーがモデルバージョンを削除します。 |
|
|
| ユーザーがモデル バージョン タグを削除します。 |
|
|
| ユーザーが登録したモデルを削除した場合 |
|
|
| ユーザーが登録したモデルのタグを削除します。 |
|
|
| ユーザーが Model Registry Webhook を削除します。 |
|
|
| ユーザーがモデル バージョン ステージの移行要求を取り消しました。 |
|
|
| 非同期モデルのコピーが完了しました。 |
|
|
| バッチ推論ノートブックは自動生成されます。 |
|
|
| 宣言型パイプラインの推論ノートブックは自動生成されます。 |
|
|
| ユーザーは、モデルバージョンをダウンロードするためのURIを取得します。 |
|
|
| ユーザーは、署名されたモデルバージョンをダウンロードするためのURIを取得します。 |
|
|
| ユーザーが呼び出しを行って、モデルのアーティファクトを一覧表示します。 |
|
|
| ユーザーが呼び出しを行い、モデル内のすべてのレジストリ Webhook を一覧表示します。 |
|
|
| ユーザーがモデル バージョン ステージの移行要求を拒否しました。 |
|
|
| ユーザーが登録済みモデルの名前を変更する |
|
|
| ユーザーが登録済みモデルのEメール サブスクリプション ステータスを更新する |
|
|
| ユーザーがモデルバージョンタグを設定します。 |
|
|
| ユーザーがモデルバージョンタグを設定します。 |
|
|
| ユーザーは、レジストリ全体の Eメール 通知ステータスを更新します。 |
|
|
| ユーザーが Model Registry Webhook をテストします。 |
|
|
| ユーザーは、モデルバージョンに対するすべてのオープンステージの移行リクエストのリストを取得します。 |
|
|
| Model Registry Webhook は、イベントによってトリガーされます。 |
|
|
| ユーザーがモデルバージョンのコメントに編集を投稿します。 |
|
|
| ユーザーが Model Registry Webhook を更新します。 |
|
モデルサービングイベント
次の serverlessRealTimeInference イベントがワークスペース レベルでログに記録されます。このサービスには 、モデルサービングに関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーが推論エンドポイントのアクセス許可を更新します。 |
|
|
| ユーザーがモデルサービングエンドポイントを作成します。 |
|
|
| ユーザーがモデルサービングエンドポイントを削除します。 |
|
|
| ユーザーは、登録済みモデルのモデルサービングを無効にします。 |
|
|
| ユーザーは、登録されたモデルに対してモデルサービングを有効にします。 |
|
|
| ユーザーは、クエリ スキーマのプレビューを取得するために呼び出しを行います。 |
|
|
| ユーザーがモデルサービングエンドポイントを更新します。 |
|
|
| ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。 |
|
ノートブックのイベント
次の notebook イベントがワークスペース レベルでログに記録されます。このサービスには、 ノートブックに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ノートブックはクラスターにアタッチされます。 新しいSQLエディターがSQLウェアハウスにアタッチされている場合にも発行されます。 |
|
|
| ユーザーがノートブックをクローンします。 |
|
|
| ノートブックフォルダが作成されます。 |
|
|
| ノートブックが作成されます。 |
|
|
| ノートブック フォルダーが削除されます。 |
|
|
| ノートブックが削除されます。 |
|
|
| リポジトリが削除されます。 |
|
|
| ノートブックは、クラスターからデタッチされます。 新しい SQL エディターが SQLウェアハウスから切り離されたときにも発行されます。 |
|
|
| ユーザーがダウンロードするクエリ結果が大きすぎてノートブックに表示できない。 |
|
|
| ユーザーがクエリ結果をダウンロードします。 |
|
|
| ユーザーがノートブックをインポートします。 |
|
|
| ノートブックが変更されます。 |
|
|
| ノートブック フォルダは、ある場所から別の場所に移動します。 |
|
|
| ノートブックは、ある場所から別の場所に移動されます。 |
|
|
| ユーザーは UI を使用してノートブックを開きます。 |
|
|
| ノートブック フォルダーの名前が変更されます。 |
|
|
| ノートブックの名前が変更されます。 |
|
|
| 削除したフォルダが復元されます。 |
|
|
| 削除したノートブックが復元されます。 |
|
|
| 削除されたリポジトリが復元されます。 |
|
|
| 詳細監査ログが有効な場合に使用できます。Databricks がノートブックまたは 新しい SQL エディターでコマンドを実行した後に出力されます。コマンドは、ノートブックのセルまたは 新しい SQL エディターのクエリ テキストに対応します。 |
|
|
| ノートブックまたは新しい SQL エディターで実行するためにコマンドが送信されたときに生成されます。コマンドは、ノートブックのセルと新しい SQL エディターのクエリ テキストに対応します。 |
|
|
| ノートブックのスナップショットは、ジョブ サービスまたは mlflow の実行時に取得されます。 |
|
Partner Connectイベント
次の partnerHub イベントがワークスペース レベルでログに記録されます。このサービスには、 Partner Connect に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース管理者は、パートナー ソリューションへの接続を設定します。 |
|
|
| ワークスペース管理者がパートナー接続を削除します。 |
|
|
| ワークスペース管理者がパートナー接続ファイルをダウンロードします。 |
|
|
| ワークスペース管理者は、パートナー接続のリソースを設定します。 |
|
予測的最適化 イベント
次の predictiveOptimization イベントがワークスペース レベルでログに記録されます。このサービスには、 予測的最適化に関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| 予測的最適化によってテーブルとワークロードのメトリクスが更新されると、サービスが最適化操作をよりインテリジェントにスケジュールできるようになるため、記録されます。 |
|
リモート履歴サービスイベント
次の RemoteHistoryService イベントがワークスペース レベルでログに記録されます。このサービスには、GitHub 資格情報の追加と削除に関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがGithubの資格情報を追加 | なし |
|
| ユーザーがGithubの資格情報を削除する | なし |
|
| ユーザーがGithubの資格情報を更新 | なし |
シークレットイベント
次の secrets イベントがワークスペース レベルでログに記録されます。このサービスには、 シークレットに関連するイベントが含まれます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがシークレットスコープを作成します。 |
|
|
| ユーザーがシークレットスコープの ACL を削除します。 |
|
|
| ユーザーがシークレットスコープを削除します。 |
|
|
| ユーザーがスコープからシークレットを削除します。 |
|
|
| ユーザーはシークレットスコープの ACL を取得します。 |
|
|
| ユーザーがスコープからシークレットを取得します。 |
|
|
| ユーザーがシークレットスコープの ACL を一覧表示する呼び出しを行います。 |
|
|
| ユーザーがシークレットスコープをリストするために呼び出しを行う | なし |
|
| ユーザーがスコープ内のシークレットをリストするために呼び出しを行います。 |
|
|
| ユーザーがシークレットスコープの ACL を変更します。 |
|
|
| ユーザーがスコープ内のシークレットを追加または編集します。 |
|
SQL テーブル・アクセス・イベント
sqlPermissions サービスには、レガシ Hive metastore テーブルアクセスコントロールに関連するイベントが含まれています。 Databricks では、Hive metastoreによって管理されているテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。
次の sqlPermissions イベントは、ワークスペース レベルでログに記録されます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース管理者またはオブジェクトの所有者は、オブジェクトの所有権を譲渡します。 |
|
|
| ユーザーがセキュリティ保護可能なオブジェクトを作成します。 |
|
|
| オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。 |
|
|
| オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。 |
|
|
| ユーザーがセキュリティ保護可能なオブジェクトを削除します。 |
|
|
| ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。 |
|
|
| ユーザーがセキュリティ保護可能なオブジェクトに対する権限を要求します。 |
|
|
| オブジェクト所有者が、セキュリティ保護可能なオブジェクトに対する権限を取り消します。 |
|
|
| セキュリティ保護可能なオブジェクトの権限をユーザーに表示します。 |
|
SSH イベント
次の ssh イベントがワークスペース レベルでログに記録されます。このサービスには 、SSH アクセスに関連するイベントが含まれています。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| SparkドライバーへのSSHのエージェントログイン。 |
|
|
| SparkドライバーからのSSHのエージェントログアウト。 |
|
統一された Iceberg REST API イベント
次の uniformIcebergRestCatalog イベントは、ワークスペース レベルでログに記録されます。これらのイベントは、ユーザーが Iceberg REST Catalog API をサポートする外部の Iceberg 互換エンジンを使用して、マネージド Apache Iceberg テーブルを操作するときにログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがカタログ構成を取得します。 |
|
|
| User は、オプションのプロパティセットを使用して名前空間を作成します。 |
|
|
| ユーザーが新しい Iceberg テーブルを作成します。 |
|
|
| ユーザーが既存の名前空間を削除します。 |
|
|
| ユーザーが既存のテーブルを削除します。 |
|
|
| ユーザーは名前空間のプロパティを取得します。 |
|
|
| ユーザーが呼び出しを行い、指定したレベルのすべての名前空間をリストします。 |
|
|
| User は、特定の名前空間の下にあるすべてのテーブルをリストします。 |
|
|
| ユーザーは、カタログからテーブルのベンドされた認証情報をロードします。 |
|
|
| ユーザーがカタログからテーブルをロードします。 |
|
|
| ユーザーがカタログからビューをロードします。 |
|
|
| ユーザーが名前空間が存在するかどうかを確認します。 |
|
|
| ユーザーが既存のテーブルの名前を変更する |
|
|
| ユーザーがメトリクスレポートを送信する |
|
|
| ユーザーは、特定の名前空間内にテーブルが存在するかどうかを確認します。 |
|
|
| ユーザーが名前空間のプロパティを更新します。 |
|
|
| ユーザーがテーブルのメタデータを更新します。 |
|
|
| ユーザーは、特定の名前空間内にビューが存在するかどうかを確認します。 |
|
ベクトル検索イベント
次の vectorSearch イベントがワークスペース レベルでログに記録されます。このサービスには、 Mosaic AI Vector Search に関連するイベントが含まれています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがベクトル検索エンドポイントを作成します。 |
|
|
| ユーザーがベクトル検索エンドポイントを削除します。 |
|
|
| ユーザーがベクトル検索エンドポイントの権限を更新します。 |
|
|
| ユーザーがベクトル検索インデックスを作成します。 |
|
|
| ユーザーがベクトル検索インデックスを削除します。 |
|
|
| ユーザーがエンドポイントのアクセス制御リストを変更します。 |
|
|
| ユーザーはベクトル検索インデックスをクエリします。 |
|
|
| ユーザーは、ベクトル検索インデックスクエリのページ分割された結果を読み取ります。 |
|
|
| ユーザーは、ベクトル検索インデックス内のすべてのデータをスキャンします。 |
|
|
| ユーザーは、Direct Access ベクトル検索インデックスのデータをアップサートします。 |
|
|
| ユーザーが Direct Access ベクトル検索インデックスのデータを削除します。 |
|
|
| ユーザーは、低レイテンシの API ルートを使用してベクトル検索インデックスをクエリします。 |
|
|
| ユーザーは、低レイテンシの API ルートを使用して、ベクトル検索インデックス クエリのページ分割された結果を読み取ります。 |
|
|
| ユーザーは、低遅延の API ルートを使用して、ベクトル検索インデックス内のすべてのデータをスキャンします。 |
|
|
| ユーザーは、低遅延の API ルートを使用して、Direct Access ベクトル検索インデックスのデータをアップサートします。 |
|
|
| ユーザーは、低遅延の API ルートを使用して Direct Access ベクトル検索インデックスのデータを削除します。 |
|
Webhook イベント
次の webhookNotifications イベントがワークスペース レベルでログに記録されます。このサービスには、 通知先に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| 管理者が新しい通知先を作成します。 |
|
|
| 管理者が通知先を削除します。 |
|
|
| ユーザーは、UI または API を使用して通知先に関する情報を表示します。 |
|
|
| Webhook がトリガーされ、通知ペイロードがターゲット URL に送信されます。 |
|
|
| テストペイロードは Webhook URL に送信され、設定を確認し、通知を正常に受信できることを確認します。 |
|
|
| 管理者が通知先を更新します。 |
|
Webターミナルイベント
次の webTerminal イベントがワークスペース レベルでログに記録されます。このサービスには、 Webターミナル 機能に関連するイベントが含まれています。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーがWebターミナルセッションを開始します。 |
|
|
| ユーザーがWebターミナルセッションを閉じます。 |
|
ワークスペースのイベント
次の workspace イベントがワークスペース レベルでログに記録されます。このサービスには、ワークスペース管理に関連するイベントが含まれています。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| アカウント管理者がワークスペースにプリンシパルを追加します。 |
|
|
| ワークスペースへのアクセス許可が変更されます。 |
|
|
| ワークスペース管理者は、ワークスペースからプリンシパルを削除します。 |
|
|
| 設定がワークスペースから削除されます。 |
|
|
| ユーザーがワークスペースにファイルを作成します。 |
|
|
| ユーザーがワークスペース内のファイルを削除します。 |
|
|
| ユーザーがファイルエディタを開きます。 |
|
|
| アカウント管理者は、ワークスペースの権限の割り当てを取得します。 |
|
|
| ユーザーは、ワークスペースのユーザー ロールを取得します。 |
|
|
| 社内の OAuth 認証コードがワークスペース レベルで作成されるときに記録されます。 |
|
|
| OAuth トークンはワークスペースに対して作成されます。 |
|
|
| ワークスペース管理者がワークスペース ノードを移動します。 |
|
|
| ワークスペース管理者は、ワークスペース ノードをパージします。 |
|
|
| 既存のホームフォルダーは、ワークスペースに再追加されたユーザーに対して再アタッチされます。 |
|
|
| ワークスペース管理者がワークスペース ノードの名前を変更します。 |
|
|
| ホームフォルダー 特殊属性は、ユーザーがワークスペースから削除されると削除されます。 |
|
|
| ワークスペース管理者は、ワークスペース ユーザーのロールを更新します。 |
|
|
| ワークスペース管理者がワークスペースにプリンシパルを追加します。 |
|
|
| ワークスペース管理者は、ワークスペースの設定を構成します。 |
|
|
| ワークスペース管理者は、詳細監査ログを有効にするなど、設定を更新します。 |
|
|
| ユーザーがワークスペースからノートブックをエクスポートします。 |
|
|
| OAuth クライアントはワークスペース サービスで認証されます。 |
|
ワークスペース ファイル イベント
次の workspaceFiles イベントがワークスペース レベルでログに記録されます。このサービスには、 ワークスペース ファイルに関連するイベントが含まれます。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース ファイルは、ユーザーによって、またはワークフローの一部としてプログラムによって読み取られます。 |
|
|
| ワークスペース ファイルは、ユーザーによって、またはワークフローの一部としてプログラムによって書き込まれます。 |
|
|
| ユーザーがワークスペースにファイルをインポートします。 |
|
アカウントレベルのサービス
次のサービスは、アカウントレベルで監査イベントをログに記録します。
アカウントアクセス制御イベント
次の accountsAccessControl イベントはアカウント レベルでログに記録され、 アカウントのアクセス制御 API (パブリック プレビュー) に関連しています。
サービス | アクション名 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、アカウントアクセス制御 API を使用してルールセットを更新します。 |
|
アカウントレベルのアカウント イベント
次の accounts イベントがアカウントレベルでログに記録されます。このサービスには、アカウントレベルの管理に関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| OAuth クライアントが認証されます。 |
|
|
| IP アクセス許可の検証に失敗しました。 statusCode 403 を返します。 |
|
|
| ユーザーは非アクティブ化された後に再アクティブ化されます。 「アカウントのユーザーを無効にする」を参照してください。 |
|
|
| ユーザーが Databricks アカウントに追加されます。 |
|
|
| ユーザーがアカウント レベルのグループに追加されます。 |
|
|
| ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループに追加されます。 |
|
|
| アカウント レベルのグループが作成されます。 |
|
|
| ユーザーが非アクティブ化されました。 「アカウントのユーザーを無効にする」を参照してください。 |
|
|
| ユーザーが Databricks アカウントから削除されます。 |
|
|
| アカウント admin は、 Databricks アカウントから設定を削除します。 |
|
|
| ユーザーが期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
|
|
| ユーザーは、ユーザー設定から、またはサービスがトークンを生成するときにトークンを生成します。 |
|
|
| ユーザーがアカウントコンソールにログインします。 |
|
|
| ユーザーがアカウントコンソールからログアウトします。 |
|
|
| 社内のOAuth認証コードがアカウントレベルで作成されるときに記録されます。 |
|
|
| アカウント レベルの OAuth トークンがサービスプリンシパルに発行されます。 |
|
|
| ユーザーは、OpenID Connect ブラウザーワークフローを使用して自分のアカウントにログインします。 |
|
|
| OIDC トークンは、アカウント管理者ログインに対して認証されます。 |
|
|
| ユーザーのパスワードは、アカウントコンソールのログイン時に確認されます。 |
|
|
| アカウント管理者が、他のユーザーからアカウント管理者権限を削除します。 |
|
|
| アカウントがグループから削除されます。 |
|
|
| ユーザーがアカウント レベルのグループから削除されます。 |
|
|
| ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループから削除されます。 |
|
|
| アカウント管理者が、アカウント管理者ロールを別のユーザーに割り当てます。 |
|
|
| アカウント管理者がアカウントレベルの設定を更新します。 |
|
|
| ユーザーはトークンを使用して Databricks にログインします。 |
|
|
| アカウント管理者がユーザーアカウントを更新します。 |
|
|
| アカウント管理者は、アカウントレベルのグループを更新します。 |
|
|
| ユーザーがアカウント作成後にEメールを検証した場合。 |
|
アカウント管理イベント
次の accountsManager イベントがアカウントレベルでログに記録されます。これらのイベントは、アカウント管理者がアカウントコンソールで行ったクラウド設定に関係しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| 管理者は、ワークスペースのサービス利用規約に同意します。 |
|
|
| アカウント管理者がユーザーのパスワードをリセットします。 また、リセット後にユーザーがパスワードを変更したかどうかもログに記録します。 |
|
|
| アカウント オーナーの役割が別のアカウント 管理者に移行されます。 |
|
|
| アカウントは、Databricks によって別のアカウントと統合されました。 |
|
|
| アカウント管理者が資格情報の設定を作成しました。 |
|
|
| アカウント admin は、顧客管理のキー構成を作成しました。 |
|
|
| アカウント管理者がネットワーク設定を作成しました。 |
|
|
| アカウント管理者がネットワーク接続構成を作成しました。 |
|
|
| アカウント管理者が非公開アクセス設定の構成を作成しました。 |
|
|
| アカウント管理者がストレージ構成を作成しました。 |
|
|
| アカウント管理者が VPC エンドポイント設定を作成しました。 |
|
|
| アカウント管理者が新しいワークスペースを作成します。 |
|
|
| アカウント管理者が資格情報の設定を削除しました。 |
|
|
| アカウント admin が顧客管理キーの設定を削除しました。 |
|
|
| アカウント管理者がネットワーク設定を削除しました。 |
|
|
| アカウント管理者が非公開アクセス設定の構成を削除しました。 |
|
|
| アカウント管理者がストレージ設定を削除しました。 |
|
|
| アカウント管理者が VPC エンドポイント設定を削除しました。 |
|
|
| アカウント管理者がワークスペースを削除しました。 |
|
|
| アカウント管理者が資格情報の設定に関する詳細を要求します。 |
|
|
| アカウント admin は、顧客管理キーの構成に関する詳細を要求します。 |
|
|
| アカウント管理者がネットワーク設定に関する詳細を要求します。 |
|
|
| アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。 |
|
|
| アカウント管理者がストレージ構成に関する詳細を要求します。 |
|
|
| アカウント管理者が VPC エンドポイント設定に関する詳細をリクエストします。 |
|
|
| アカウント管理者がワークスペースの詳細を要求します。 |
|
|
| アカウント admin は、アカウント内のすべての資格情報設定を一覧表示します。 |
|
|
| アカウント admin は、アカウント内のすべての顧客管理キー構成を一覧表示します。 |
|
|
| アカウント admin アカウント内のすべてのネットワーク設定を一覧表示します。 |
|
|
| アカウント admin アカウント内のすべてのプライベートアクセス設定構成を一覧表示します。 |
|
|
| アカウント admin アカウント内のすべてのストレージ構成が一覧表示されます。 |
|
|
| アカウント admin には、すべてのアカウント請求サブスクリプションが一覧表示されます。 |
|
|
| アカウント admin VPC アカウントのすべてのエンドポイント設定をリストしました。 |
|
|
| アカウント admin アカウント内のすべてのワークスペースが一覧表示されます。 |
|
|
| アカウント管理者は、特定のワークスペース内のすべての暗号化キーレコードを一覧表示します。 |
|
|
| アカウント admin アカウント内のすべての暗号化キーレコードを一覧表示します。 |
|
|
| Eメール は、 Databricks サービス利用規約に同意するためにワークスペース管理者に送信されました。 |
|
|
| アカウントの詳細は内部で変更されました。 |
|
|
| アカウントの請求サブスクリプションが更新されました。 |
|
|
| 管理者がワークスペースの構成を更新しました。 |
|
|
| アカウント管理者がネットワークポリシーを作成しました。 |
|
|
| アカウント管理者は、ネットワークポリシーに関する詳細を要求します。 |
|
|
| アカウント admin アカウントにすべてのネットワークポリシーをリストします。 |
|
|
| アカウント管理者がネットワークポリシーを更新しました。 |
|
|
| アカウント管理者がネットワークポリシーを削除しました。 |
|
|
| アカウント管理者は、ワークスペースのネットワークポリシーに関する詳細を要求します。 |
|
|
| アカウント管理者がワークスペースのネットワークポリシーを更新しました。 |
|
課金利用イベント
次の accountBillableUsage イベントがアカウントレベルでログに記録されます。このサービスには、アカウントコンソールでの課金利用アクセスに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ユーザーは、Usage Graph機能を通じてアカウントの集計課金利用(Usage per Day)にアクセスしました。 |
|
|
| ユーザーは、Usage Download機能を通じて、アカウントの詳細な課金利用(クラスタごとの利用状況)にアクセスしました。 |
|
クリーンルームイベント
次の clean-room イベントがアカウントレベルでログに記録されます。これらのイベントは クリーンルームに関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| DatabricksアカウントのユーザーがUIまたはAPIを使用して新しいクリーンルームを作成します。 |
|
|
| アカウントのユーザーがクリーンルームアセットを作成します。 |
|
|
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームアセットのレビューを作成します。現在、レビュー可能なのはノートブックのみです。 |
|
|
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームの自動承認ルールを作成します。応答には、clean_room_events システムテーブルで参照されるrule_idが含まれています。 |
|
|
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームに出力テーブルを作成します。 |
|
|
| DatabricksアカウントのユーザーがUIまたはAPIを使用してクリーンルームを削除しました。 |
|
|
| アカウントのユーザーがクリーンルームアセットを削除しました。 |
|
|
| Databricksアカウントのユーザーが、UIまたはAPIを使用してクリーンルームの自動承認ルールを削除しました。 |
|
|
| アカウントのユーザーは、UIまたは APIを使用してクリーンルームの詳細を取得します。 |
|
|
| アカウント内のユーザーは、UIを使用してクリーンルームのデータアセットの詳細を表示します。 |
|
|
| ユーザーは、クリーンルーム内のアセットのリストを取得します。 |
|
|
| Databricksアカウントのユーザーは、UIまたはAPIを使用して、クリーンルームの自動承認ルールをリストします。 |
|
|
| ユーザーは、クリーンルーム内で実行されるノートブック タスクの一覧を取得します。 |
|
|
| ユーザーは、ワークスペースUIを使用してすべてのクリーンルームのリストを取得するか、 APIを使用してメタストア内のすべてのクリーンルームのリストを取得します。 |
|
|
| アカウントのユーザーがクリーンルームの詳細またはアセットを更新します。 |
|
|
| アカウントのユーザーがクリーンルームアセットを更新しました。 |
|
Delta Sharing イベント
Delta Sharing イベントは、データ プロバイダーのアカウントに記録されたイベントと、データ受信者のアカウントに記録されたイベントの 2 つのセクションに分かれています。
監査ログを使用して Delta Sharing イベントを監視する方法については、「 データ共有の監査と監視」を参照してください。
Delta Sharing プロバイダー イベント
次の監査ログ イベントは、プロバイダーのアカウントに記録されます。受信者が実行するアクションは、 deltaSharing プレフィックスで始まります。これらの各ログには、共有データを管理するメタストアである request_params.metastore_idと、アクティビティを開始したユーザーの ID である userIdentity.emailも含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| データ受信者が共有のリストを要求します。 |
|
|
| データ受信者が共有に関する詳細を要求します。 |
|
|
| データ受信者は、共有スキーマのリストを要求します。 |
|
|
| データ受信者は、すべての共有テーブルのリストを要求します。 |
|
|
| データ受信者は、共有テーブルのリストを要求します。 |
|
|
| データ受信者は、テーブルのメタデータに関する詳細をリクエストします。 |
|
|
| データ受信者は、テーブルバージョンに関する詳細を要求します。 |
|
|
| データ受信者が共有テーブルをクエリしたときにログに記録されます。 |
|
|
| データ受信者がテーブルのデータを変更したときにログに記録されます。 |
|
|
| データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
| データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
| データ受信者は、共有ノートブック ファイルの一覧を要求します。 |
|
|
| データ受信者は、共有ノートブック ファイルをクエリします。 |
|
|
| データ受信者は、親スキーマ内の関数のリストを要求します。 |
|
|
| データ受信者は、すべての共有機能のリストを要求します。 |
|
|
| データ受信者は、機能バージョンの一覧を要求します。 |
|
|
| データ受信者は、スキーマ内の共有ボリュームのリストを要求します。 |
|
|
| データ受信者がすべての共有ボリュームを要求します。 |
|
|
| プロバイダーはメタストアを更新します。 |
|
|
| プロバイダーは、データ受信者を作成します。 |
|
|
| プロバイダーはデータ受信者を削除します。 |
|
|
| プロバイダーは、データ受信者に関する詳細を要求します。 |
|
|
| プロバイダーは、すべてのデータ受信者の一覧を要求します。 | なし |
|
| プロバイダーは、受信者のトークンをローテーションします。 |
|
|
| プロバイダーは、データ受信者の属性を更新します。 |
|
|
| プロバイダーは、データ受信者の属性を更新します。 |
|
|
| プロバイダーは、データ受信者の属性を更新します。 |
|
|
| プロバイダーが共有に関する詳細を要求します。 |
|
|
| プロバイダーは、共有にデータ資産を追加または削除します。 |
|
|
| プロバイダーは、共有の一覧を要求します。 | なし |
|
| プロバイダーは、共有のアクセス許可の詳細を要求します。 |
|
|
| プロバイダーは、共有のアクセス許可を更新します。 |
|
|
| プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。 |
|
|
| プロバイダーは、アクティブ化リンクでアクティビティの詳細を要求します。 |
|
|
| 受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
|
|
| 受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
|
Delta Sharing 受信者イベント
次のイベントがデータ受信者のアカウントに記録されます。これらのイベントは、共有データと AI アセットの受信者アクセスと、プロバイダーの管理に関連付けられたイベントを記録します。これらの各イベントには、次の要求パラメーターも含まれます。
recipient_name: データプロバイダのシステム内の受信者の名前。metastore_id: データ プロバイダのシステム内のメタストアの名前。sourceIPAddress: 要求の発信元の IP アドレス。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| データ受信者は、共有テーブルバージョンの詳細を要求します。 |
|
|
| データ受信者は、共有テーブルのメタデータの詳細を要求します。 |
|
|
| データ受信者は、共有テーブルをクエリします。 |
|
|
| データ受信者は、テーブルの変更データをクエリします。 |
|
|
| データ受信者は、プロバイダー オブジェクトを作成します。 |
|
|
| データ受信者は、プロバイダー オブジェクトを更新します。 |
|
|
| データ受信者がプロバイダー オブジェクトを削除します。 |
|
|
| データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。 |
|
|
| データ受信者は、プロバイダーの一覧を要求します。 | なし |
|
| データ受信者は、プロバイダー オブジェクトをアクティブ化します。 |
|
|
| データ受信者は、プロバイダーの共有の一覧を要求します。 |
|
ログ配信イベント
次の logDelivery イベントがアカウントレベルでログに記録されます。これらのイベントは、 監査ログと請求ログの配信に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| 管理者がログ配信構成を作成しました。 |
|
|
| 管理者がログ配信設定に関する詳細を要求しました。 |
|
|
| 管理者は、アカウント内のすべてのログ配信設定をリストしました。 |
|
|
| 管理者がログ配信設定を更新しました。 |
|
Oauth SSO イベント
次の oauth2 イベントはアカウントレベルでログに記録され、アカウントコンソールへの OAuth SSO 認証に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース管理者がカスタムアプリ統合を作成します。 |
|
|
| ワークスペース管理者は、公開済みのアプリ統合を使用してアプリ統合を作成します。 |
|
|
| ワークスペース管理者がカスタムアプリ統合を削除しました。 |
|
|
| ワークスペース管理者が公開済みアプリ統合を削除します。 |
|
|
| ワークスペース管理者が OAuth にアカウントを登録します。 |
|
|
| ワークスペース管理者がカスタムアプリの統合を更新します。 |
|
|
| ワークスペース管理者が公開済みアプリの統合を更新します。 |
|
サーバレス 予算ポリシー イベント
次の budgetPolicyCentral イベントはアカウントレベルでログに記録され、サーバレス 予算ポリシーに関連しています。 「サーバレス 予算ポリシーでの属性の使用」を参照してください。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| ワークスペース admin または billing admin は、サーバレス 予算ポリシーを作成します。 新しい |
|
|
| ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを更新します。 |
|
|
| ワークスペース admin、billing admin、または ポリシー manager がサーバレス 予算ポリシーを削除します。 |
|
サービスプリンシパル 資格情報のイベント (パブリック プレビュー)
次の servicePrincipalCredentials イベントがアカウントレベルでログに記録されます。これらのイベントは 、サービス資格情報に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| アカウント admin は、サービスプリンシパルの OAuth シークレットを生成します。 |
|
|
| アカウント admin は OAuth すべてのシークレットをサービスプリンシパルの下に一覧表示します。 |
|
|
| アカウント admin は、サービスプリンシパルの OAuth シークレットを削除します。 |
|
シングルサインオンイベント
次の ssoConfigBackend イベントはアカウントレベルでログに記録され、アカウントコンソールの SSO 認証に関連しています。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| アカウント admin は、構成 SSO アカウント コンソールを作成しました。 |
|
|
| アカウント admin は、アカウント コンソール SSO 設定に関する詳細を要求しました。 |
|
|
| アカウント admin がアカウント コンソール SSO 設定を更新しました。 |
|
Unity Catalog イベント
次の監査イベントは、Unity Catalog に関連しています。 Delta Sharing イベントも unityCatalog サービスでログに記録されます。 Delta Sharing イベントについては、「 Delta Sharing イベント」を参照してください。 Unity Catalog の監査イベントは、イベントに応じて、ワークスペース レベルまたはアカウント レベルでログに記録できます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| アカウント管理者がメタストアを作成します。 |
|
|
| アカウント管理者がメタストア ID を要求します。 |
|
|
| アカウント管理者がメタストアに関する詳細を要求します。 |
|
|
| アカウント admin は、アカウント内のすべてのメタストアのリストを要求します。 |
|
|
| アカウント管理者がメタストアを更新します。 |
|
|
| アカウント管理者がメタストアを削除します。 |
|
|
| アカウント管理者は、メタストアのワークスペースの割り当てを更新します。 |
|
|
| アカウント admin は外部ロケーションを作成します。 |
|
|
| アカウント admin は、外部ロケーションに関する詳細を要求します。 |
|
|
| アカウント admin request list of all outsidelocation in an account. |
|
|
| アカウント admin が外部ロケーションを更新します。 |
|
|
| アカウント admin が外部ロケーションを削除します。 |
|
|
| ユーザーがカタログを作成します。 |
|
|
| ユーザーがカタログを削除します。 |
|
|
| ユーザーがカタログに関する詳細を要求します。 |
|
|
| ユーザーがカタログを更新します。 |
|
|
| ユーザーが呼び出しを行って、メタストア内のすべてのカタログを一覧表示します。 |
|
|
| ユーザーがスキーマを作成します。 |
|
|
| ユーザーがスキーマを削除します。 |
|
|
| ユーザーがスキーマに関する詳細を要求します。 |
|
|
| ユーザーがカタログ内のすべてのスキーマのリストを要求します。 |
|
|
| ユーザーがスキーマを更新します。 |
|
|
|
| |
|
| ユーザーがテーブルを作成します。 request パラメーターは、作成されるテーブルのタイプによって異なります。 |
|
|
| ユーザーがテーブルを削除します。 |
|
|
| ユーザーがテーブルの詳細を要求します。 |
|
|
|
| |
|
| ユーザーが呼び出しを行って、スキーマ内のすべてのテーブルをリストします。 |
|
|
| ユーザーは、メタストア内のスキーマとカタログのテーブルの要約の配列を取得します。 |
|
|
| ユーザーがテーブルを更新します。 表示されるリクエスト・パラメータは、テーブル更新のタイプによって異なります。 |
|
|
| アカウント管理者がストレージ資格情報を作成します。 クラウドプロバイダーの資格情報に基づいて、追加の要求パラメーターが表示される場合があります。 |
|
|
| アカウント admin は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。 |
|
|
| アカウント管理者がストレージ資格情報に関する詳細を要求します。 |
|
|
| アカウント管理者がストレージ資格情報を更新します。 |
|
|
| アカウント管理者がストレージ資格情報を削除します。 |
|
|
| テーブルに一時的な認証情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何をクエリしたかを判断できます。 |
|
|
| パスに一時的な認証情報が付与されるたびにログに記録されます。 |
|
|
| 特定のパスに対してユーザーのアクセス許可がチェックされるたびにログに記録されます。 |
|
|
| ユーザーが呼び出しを行って、セキュリティ保護可能なオブジェクトの権限の詳細を取得します。この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 |
|
|
| ユーザーは、セキュリティ保護可能なオブジェクトのすべての権限の詳細を取得するために呼び出しを行います。 有効なアクセス許可呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 |
|
|
| ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。 |
|
|
| ユーザーは、前のテーブル バージョンからメタデータをクエリします。 |
|
|
| ユーザーは、前のテーブル バージョンからメタデータとアクセス許可をクエリします。 |
|
|
| ユーザーが以前のテーブル バージョンからメタデータを更新します。 |
|
|
| ユーザーは、外部キーに関する詳細を取得するために呼び出しを行います。 |
|
|
| ユーザーが呼び出しを行って、スキーマに関する詳細を取得します。 |
|
|
| ユーザーがテーブルの制約を作成します。 |
|
|
| ユーザーがテーブルの制約を削除します。 |
|
|
| ユーザーが Unity Catalog パイプラインを作成します。 |
|
|
| ユーザーが Unity Catalog パイプラインを更新します。 |
|
|
| ユーザーが Unity Catalog パイプラインに関する詳細を要求します。 |
|
|
| ユーザーが Unity Catalog パイプラインを削除します。 |
|
|
| リソースの削除に失敗する | なし |
|
| ユーザーが Unity Catalog ボリュームを作成します。 |
|
|
| ユーザーは、Unity Catalog ボリュームに関する情報を取得するために呼び出しを行います。 |
|
|
| ユーザーは、Unity Catalog ボリュームのメタデータを |
|
|
| ユーザーが Unity Catalog ボリュームを削除します。 |
|
|
| ユーザーは、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得するために呼び出しを行います。 |
|
|
| 一時的な認証情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行するときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。 |
|
|
| セキュリティ保護可能なリソースのタグ割り当てがフェッチされます |
|
|
| サブエンティティのタグ割り当てがフェッチされます |
|
|
| セキュリティ保護可能なリソースのタグ割り当てが更新されました |
|
|
| サブエンティティのタグ割り当てが更新される |
|
|
| ユーザーが Unity Catalog 登録モデルを作成します。 |
|
|
| ユーザーが Unity Catalog 登録したモデルの情報を取得するために電話をかけます。 |
|
|
| ユーザーが Unity Catalog に登録されたモデルのメタデータを更新します。 |
|
|
| ユーザーが Unity Catalog に登録されたモデルを削除します。 |
|
|
| ユーザーは、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ間でモデルを一覧表示するために呼び出しを行います。 |
|
|
| ユーザーが Unity Catalog にモデル バージョンを作成します。 |
|
|
| ユーザーは、モデルバージョンのファイルをその保存場所にアップロードした後、Unity Catalog モデルバージョンを「ファイナライズ」する呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。 |
|
|
| ユーザーは、モデル バージョンの詳細を取得するために呼び出しを行います。 |
|
|
| ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。 |
|
|
| ユーザーがモデル バージョンのメタデータを更新します。 |
|
|
| ユーザーがモデルバージョンを削除します。 |
|
|
| ユーザーは、登録済みモデル内の Unity Catalog モデルバージョンの一覧を取得するために呼び出しを行います。 |
|
|
| 一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンが確定した後) を実行すると生成されます。 このイベントを使用して、モデル バージョンに誰がいつアクセスしたかを判断できます。 |
|
|
| ユーザーが Unity Catalog に登録されたモデルにエイリアスを設定します。 |
|
|
| ユーザーが Unity Catalog 登録モデルのエイリアスを削除します。 |
|
|
| ユーザーは、エイリアスによって Unity Catalog モデル バージョンを取得します。 |
|
|
| 新しい外部接続が作成されます。 |
|
|
| 外部接続が削除されました。 |
|
|
| 外部接続が取得されます。 |
|
|
| 外部接続が更新されます。 |
|
|
| メタストア内の外部接続が一覧表示されます。 |
|
|
| ユーザーが新しい関数を作成します。 |
|
|
| ユーザーが関数を更新します。 |
|
|
| ユーザーが、特定の親カタログまたはスキーマ内のすべての関数のリストを要求しました。 |
|
|
| ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
| ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
|
| |
|
|
| |
|
| Databricks からクラウド サービス アカウントにアクセスするために、一時的な資格情報が生成されます。 |
|
|
| メタストア管理者またはオブジェクト所有者は、カタログ、外部ロケーション、またはストレージ資格情報のワークスペース バインディングを更新します。 |
|
追加のセキュリティモニタリングイベント
Databricksクラシック コンピュートプレーン 内の コンピュート リソース (VM for クラスターや Pro または クラシックSQL ウェアハウスなど) では、次の機能によって追加のモニタリング エージェントが有効になります。
サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 Classic と サーバレス コンピュート サポート(地域別)およびコンプライアンス標準(サーバレス コンピュートの可用性)を参照してください。
File integrity モニタリングイベント
次の capsule8-alerts-dataplane イベントがワークスペース レベルでログに記録されます。このサービスには、ファイル整合性モニタリングに関連するイベントが含まれます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| モニターがオンになっていることを確認するための定期的なイベント。 現在、10 分ごとに実行されています。 |
|
|
| 多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 |
|
|
| 重要なシステムファイルの整合性を監視します。 これらのファイルに対する不正な変更に関するアラート。 Databricks はイメージ上の特定のシステム パスのセットを定義し、このパスのセットは時間の経過と共に変化する可能性があります。 |
|
|
| systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
| プログラムがクラッシュすることが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、または影響を受けるアプリケーションに安定性の問題が存在することを示している可能性があります。 個々のプログラムの 5 つ以上のインスタンスがセグメンテーション フォールトによってクラッシュした場合にアラートを出します。 |
|
|
| 通常、コンテナーは静的ワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されると、アラートが発生します。 |
|
|
| 多くの場合、メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされます。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定したときにアラートを生成します。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 |
|
|
| インタラクティブシェルは、現代の本番運用インフラストラクチャではめったに発生しません。 逆シェルで一般的に使用される引数を使用して対話型シェルが開始された場合のアラート。 |
|
|
| コマンドログの回避は、攻撃者にとって一般的な方法ですが、正当なユーザーが不正なアクションを実行しているか、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザー・コマンド履歴ログの変更が検出された場合、ユーザーがコマンド・ログを回避しようとしていることを示すアラート。 |
|
|
| 一部の種類のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を獲得し、検出を回避するために BPF ベースのルートキットを読み込んでいることを示している可能性があります。 プロセスが新しい特権 BPF プログラムをロードしたときにアラートを生成します (そのプロセスがすでに進行中のインシデントの一部である場合)。 |
|
|
| 攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして、検出を回避し、侵害されたノードで永続性を維持します。 カーネルモジュールがロードされたとき、プログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 |
|
|
| 攻撃者は、正当なシステムプログラムまたはサービスになりすまそうとして、悪意のあるバイナリを作成したり、名前の末尾にスペースを含めたりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行した場合のアラート。 |
|
|
| カーネル権限昇格の悪用は、通常、権限のないユーザーが権限変更のための標準ゲートを通過せずにルート権限を取得できるようにします。 プログラムが通常とは異なる手段で特権を昇格させようとした場合にアラートを生成します。 これにより、ワークロードが大きいノードで誤検出アラートが発行される可能性があります。 |
|
|
| 内部カーネル関数は通常のプログラムからアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを示す強力な指標となります。 カーネル関数が予期せずユーザー空間に戻ったときにアラートを出します。 |
|
|
| SMEP と SMAP は、カーネルのエクスプロイトが成功するのを難しくするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネル エクスプロイトの一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんした場合にアラートを生成します。 |
|
|
| コンテナエスケープエクスプロイトで一般的に使用されるカーネル関数をプログラムが使用している場合にアラートを発し、攻撃者がコンテナアクセスからノードアクセスに権限を昇格させていることを示します。 |
|
|
| 特権コンテナはホストリソースに直接アクセスできるため、侵害された場合の影響は大きくなります。特権コンテナが起動されたとき、コンテナが既知の特権イメージ kube-proxy でない場合にアラートを生成します。これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。 |
|
|
| 多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御できるようになります。 コンテナで作成されたファイルがコンテナの外部から実行されたときにアラートを出します。 |
|
|
| 特定の AppArmor 属性の変更はカーネル内でのみ行うことができ、カーネル エクスプロイトまたはルートキットによって AppArmor が無効にされたことを示します。 センサーの起動時に検出されたAppArmor構成からAppArmorの状態が変更されたときにアラートを発します。 |
|
|
| 攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 AppArmor プロファイルを変更するコマンドが実行されたとき (SSH セッションでユーザーによって実行されていない場合) にアラートを出します。 |
|
|
| 信頼できるソース (パッケージマネージャーや設定管理ツールなど) によって実行されない場合、ブートファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更したことを示している可能性があります。 |
|
|
| ログ管理ツールによって実行されていないログの削除は、攻撃者が侵害の兆候を削除しようとしていることを示している可能性があります。 システム・ログ・ファイルの削除に関するアラート。 |
|
|
| システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルエクスプロイト、またはエクスプロイトチェーンの一部である可能性があります。 30 分以内に作成または変更されたファイルが実行された場合、システム更新プログラムによって作成されたファイルは除外されます。 |
|
|
| ルート証明書ストアを変更すると、不正な認証局がインストールされ、ネットワーク トラフィックの傍受やコード署名の検証のバイパスが可能になります。 システム CA 証明書ストアが変更されたときにアラートを生成します。 |
|
|
|
|
|
|
| 攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられたプロセスによって隠しファイルが作成されたときにアラートを生成します。 |
|
|
| 攻撃者は、システムユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システムユーティリティを変更する可能性があります。 一般的なシステム・ユーティリティーが無許可のプロセスによって変更された場合にアラートを出します。 |
|
|
| 攻撃者や不正なユーザーは、これらのプログラムを使用またはインストールして、接続されたネットワークを調査し、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラート。 |
|
|
| 攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワークサービスを開始する可能性があります。 プログラムが新しいネットワーク サービスを開始したときにアラート (プログラムがすでに進行中のインシデントの一部である場合)。 |
|
|
| 攻撃者や不正なユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報をキャプチャする可能性があります。 ネットワーク キャプチャを許可するプログラムが実行されたときにアラートを発します。 |
|
|
| ファイル転送ツールを使用すると、攻撃者がツールセットを追加のホストに移動したり、データをリモートシステムに流出させたりしようとしていることを示している可能性があります。 リモート・ファイル・コピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。 |
|
|
| コマンド & Control チャンネルとクリプトコインマイナーは、多くの場合、異常なポートで新しいアウトバウンドネットワーク接続を作成します。 プログラムが一般的でないポートで新しい接続を開始したときにアラート (プログラムが既に進行中のインシデントの一部である場合)。 |
|
|
| 攻撃者は、システムにアクセスした後、ファイルの圧縮アーカイブを作成して、流出するデータのサイズを縮小する可能性があります。 データ圧縮プログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 |
|
|
| プロセス挿入手法の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示している場合もあります。 プログラムが |
|
|
| 攻撃者は、多くの場合、アカウント列挙プログラムを使用して、アクセスレベルを判断し、他のユーザーが現在ノードにログインしているかどうかを確認します。 アカウント列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
| ファイルシステムの探索は、攻撃者が関心のある資格情報とデータを探している一般的なエクスプロイト後の動作です。 ファイルおよびディレクトリの列挙に関連付けられたプログラムが実行されたとき (そのプログラムが既に進行中のインシデントの一部である場合に)、アラートを生成します。 |
|
|
| 攻撃者は、ローカルネットワークとルーティング情報を調査して、ラテラルムーブメントに先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 |
|
|
| 攻撃者は、ノードの目的や、セキュリティツールや監視ツールが配置されているかどうかを特定するために、実行中のプログラムをリストアップすることがよくあります。 プロセス列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 |
|
|
| 攻撃者は通常、システム列挙コマンドを実行して、Linuxカーネルとディストリビューションのバージョンと機能を特定し、多くの場合、ノードが特定の脆弱性の影響を受けているかどうかを特定します。 システム情報の列挙に関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを出します。 |
|
|
| スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 |
|
|
| systemdユニットを変更すると、セキュリティ制御が緩和されたり無効になったり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
| root ユーザーへの明示的なエスカレーションにより、特権アクティビティを特定のユーザーに関連付ける能力が低下します。 |
|
|
|
|
|
|
| 履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。 |
|
|
| 攻撃者は、信頼性の高いアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 新しいユーザー・エンティティがローカル・アカウント管理ファイル・ |
|
|
| 攻撃者は、ID 関連のファイルを直接変更して、システムに新しいユーザーを追加する可能性があります。 アラート : ユーザー パスワードに関連するファイルが、既存のユーザー情報の更新に関係のないプログラムによって変更された場合。 |
|
|
| 新しいSSH公開鍵を追加することは、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。ユーザーの SSH |
|
|
| 新しいユーザーを追加することは、攻撃者が侵害されたノードで永続性を確立する際の一般的な手順です。 ID 管理プログラムがパッケージ・マネージャー以外のプログラムによって実行される場合にアラートを出します。 |
|
|
| 履歴ファイルの削除は一般的ではなく、アクティビティを隠している攻撃者や、監査制御を回避しようとする正当なユーザーによって一般的に実行されます。 コマンドライン履歴ファイルが削除されたときにアラートを出します。 |
|
|
| ユーザープロファイルと設定ファイルは、ユーザーがログインするたびにプログラムを実行するための永続化の方法として変更されることがよくあります。 |
|
ウイルス対策モニタリング イベント
これらの監査ログの response JSON オブジェクトには、常に元のスキャン結果の 1 行を含む result フィールドがあります。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ・レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。
次の clamAVScanService-dataplane イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| アンチウイルス モニタリングはスキャンを実行します。 元のスキャン出力の各行に対してログが生成されます。 |
|
システムログイベント
監査ログ内の response JSON オブジェクトには、元のシステムログの内容を含む result フィールドがあります。
次の syslog イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| システム・ログはイベントを処理します。 |
|
プロセス・モニター・ログ・イベント
次の monit イベントは、ワークスペース レベルでログに記録されます。
サービス | 操作 | 説明 | リクエストパラメーター |
|---|---|---|---|
|
| モニタは動作していません。 |
|
|
| モニタが再起動しています。 |
|
|
| モニターが起動。 |
|
|
| モニターは実行中です。 |
|
非推奨のログイベント
Databricks では、次の databrickssql 監査イベントが非推奨になりました。
createAlertDestination(現在createNotificationDestination)deleteAlertDestination(現在deleteNotificationDestination)updateAlertDestination(現在updateNotificationDestination)muteAlertunmuteAlert
SQLエンドポイント ログ
SQLSQL非推奨の エンドポイントAPI ( ウェアハウスの旧称) を使用して ウェアハウスを作成した場合、対応する監査イベント名にはSQL Endpoint``Warehouse[] ではなく [] という単語が含まれます。名前以外は、これらのイベントは SQLウェアハウス イベントと同じです。 これらのイベントの説明と要求パラメーターを表示するには、「 Databricks SQL イベント」の対応するウェアハウス イベントを参照してください。
SQLエンドポイント イベントは次のとおりです。
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig