Audit log システムテーブル リファレンス
プレビュー
このシステムテーブルは パブリック プレビュー段階です。 テーブルにアクセスするには、 system カタログでスキーマを有効にする必要があります。 詳細については、「 システムテーブル スキーマを有効にする」を参照してください。
この記事では、監査ログ テーブルのスキーマの概要を説明し、監査ログ システム テーブルと共に使用してアカウント アクティビティに関する一般的な質問に答えるサンプル クエリを示します。 監査ログイベントに関する情報については、「 監査ログリファレンス」を参照してください。
テーブルパス :このシステムテーブルは system.access.auditにあります。
監査ログに関する考慮事項
- ほとんどの監査ログは、ワークスペースのリージョンでのみ使用できます。
- アカウントレベルの監査ログには、
workspace_id``0として記録されます。
Audit log システムテーブル schema
監査ログシステムテーブルは、次のスキーマを使用します。
列名 | データ型 | 説明 | 例 |
|---|---|---|---|
| string | 監査ログ スキーマのバージョン |
|
| タイムスタンプ | イベントのタイムスタンプ。 タイムゾーン情報は、UTCタイムゾーンを表す |
|
| 日付 | アクションが行われたカレンダーの日付 |
|
| ロング | ワークスペースの ID |
|
| string | 要求の発信元の IP アドレス |
|
| string | リクエストの発信元 |
|
| string | 要求の送信元のセッションの ID |
|
| string | リクエストを開始したユーザーの ID |
|
| string | リクエストを開始するサービス名 |
|
| string | 監査ログにキャプチャされたイベントのカテゴリ |
|
| string | リクエストのID |
|
| マップ | すべての要求パラメーターを含むキー値のマップ。 要求の種類によって異なります |
|
| 構造体 | 応答の戻り値の構造体 |
|
| string | ワークスペースまたはアカウント レベルのイベント |
|
| string | アカウントのID |
|
| string | イベントの ID |
|
| 構造体 | アクションに関与した ID( |
|
サンプル クエリ
次のセクションでは、監査ログのシステムテーブルに知見を得るために使用できるサンプル SQL クエリについて説明します。
例としては、デフォルトでは有効になっていない詳細な監査ログイベントがあります。 ワークスペースで詳細監査ログを有効にするには、「 詳細監査ログを有効にする」を参照してください。
この記事には、次のクエリの例が含まれています。
- このテーブルにアクセスできるのは誰ですか?
- 過去 7 日以内にテーブルにアクセスしたユーザーは誰ですか?
- ユーザーが最近アクセスしたテーブルはどれですか?
- すべてのセキュリティ保護可能なオブジェクトの権限の変更を表示する
- 最近実行したノートブック コマンドを表示する
- Databricks アプリにログインしたユーザーはどのユーザーですか?
- 他のユーザーやグループとアプリの共有方法を変更するために更新された Databricks アプリはどれですか?
このテーブルにアクセスできるのは誰ですか?
このクエリでは、 information_schema を使用して、テーブルに対するパーミッションを持つユーザーを特定します。 カタログ、スキーマ、およびテーブル名のパラメーターの値を入力します。
SELECT DISTINCT(grantee), privilege_type, 'catalog' AS level
FROM system.information_schema.catalog_privileges
WHERE
catalog_name = :catalog_name
UNION
SELECT DISTINCT(grantee), privilege_type, 'schema' AS level
FROM system.information_schema.schema_privileges
WHERE
catalog_name = :catalog_name AND schema_name = :schema_name
UNION
SELECT DISTINCT(grantee) AS `accessible by`, privilege_type, 'table' AS level
FROM
system.information_schema.table_privileges
WHERE
table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name
UNION
SELECT table_owner, 'ALL_PRIVILEGES' AS privilege_type, 'owner' AS level
FROM system.information_schema.tables
WHERE
table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name
過去 7 日以内にテーブルにアクセスしたユーザーは誰ですか?
このクエリを機能させるには、クエリ パラメーターにテーブル パス情報を入力します。
フルネームは、DML 操作のログにキャプチャされません。 スキーマと単純な名前を含めて、すべてをキャプチャします。
SELECT
user_identity.email as `User`,
IFNULL(
request_params.full_name_arg,
request_params.name
) AS `Table`,
action_name AS `Type of Access`,
event_time AS `Time of Access`
FROM
system.access.audit
WHERE
(
request_params.full_name_arg = :table_full_name
OR (
request_params.name = :table_name
AND request_params.schema_name = :schema_name
)
)
AND action_name IN ('createTable', 'getTable', 'deleteTable')
AND event_date > now() - interval 7 day
ORDER BY
event_date DESC
ユーザーが最近アクセスしたテーブルはどれですか?
このクエリを機能させるには、ユーザーの Eメール を :User パラメーターに入力し、数値を :days_ago パラメーターに入力します。
SELECT
action_name as `EVENT`,
event_time as `WHEN`,
IFNULL(request_params.full_name_arg, 'Non-specific') AS `TABLE ACCESSED`,
IFNULL(request_params.commandText, 'GET table') AS `QUERY TEXT`
FROM
system.access.audit
WHERE
user_identity.email = :User
AND action_name IN (
'createTable',
'commandSubmit',
'getTable',
'deleteTable'
)
AND datediff(now(), event_date) < :days_ago
ORDER BY
event_date DESC
結果の例
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
すべてのセキュリティ保護可能なオブジェクトの権限の変更を表示する
このクエリは、アカウントで発生したすべてのアクセス許可の変更に対してイベントを返します。 クエリは、変更を行ったユーザー、セキュリティ保護可能なオブジェクトの種類と名前、および行われた特定の変更を返します。
SELECT event_time, user_identity.email, request_params.securable_type, request_params.securable_full_name, request_params.changes
FROM system.access.audit
WHERE service_name = 'unityCatalog'
AND action_name = 'updatePermissions'
ORDER BY 1 DESC
最近実行したノートブック コマンドを表示する
このクエリは、最後に実行したノートブック コマンドと、コマンドを実行したユーザーを返します。
runCommand アクションは、詳細監査ログが有効になっている場合にのみ発行されます。詳細監査ログを有効にするには、「 詳細監査ログを有効にする」を参照してください。
SELECT event_time, user_identity.email, request_params.commandText
FROM system.access.audit
WHERE action_name = `runCommand`
ORDER BY event_time DESC
LIMIT 100
Databricks アプリにログインしたユーザーはどのユーザーですか?
このクエリは、Databricks アプリ インスタンスへのログインごとにイベントを返します。
SELECT
event_date,
workspace_id,
request_params.request_object_id as app,
user_identity.email as user_email,
user_identity.subject_name as username
FROM
system.access.audit
WHERE
action_name IN ("workspaceInHouseOAuthClientAuthentication", "mintOAuthToken", "mintOAuthAuthorizationCode")
AND
request_params["client_id"] LIKE "{{application-ID}}"
GROUP BY
event_date,
workspace_id,
app,
user_email,
username
を、特定の {{application-ID}}アプリに割り当てられたサービスプリンシパルの アプリケーション ID 値に置き換えます。 Databricksこの値は、アプリをホストしている Databricks ワークスペースの管理設定で確認できます。
他のユーザーやグループとアプリの共有方法を変更するために更新された Databricks アプリはどれですか?
このクエリは、アクセス許可の種類、新しいアクセス許可が割り当てられているユーザーまたはグループ、変更を送信したユーザーなど、Databricks アプリへのアクセスを変更するためのアクセス許可の更新のイベントを返します。
SELECT
event_date,
workspace_id,
request_params['request_object_id'] as app,
user_identity['email'] as sharing_user,
acl_entry['group_name'],
acl_entry['user_name'],
acl_entry['permission_level']
FROM
system.access.audit t
LATERAL VIEW
explode(from_json(request_params['access_control_list'], 'array<struct<user_name:string,permission_level:string,group_name:string>>')) acl_entry AS acl_entry
WHERE
action_name = 'changeAppsAcl'
AND
request_params['request_object_type'] = 'apps'
ORDER BY
event_date DESC