監査ログのリファレンス
注:
この機能を使用するには、プレミアムプラン以上が必要です。
この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。
アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、システムテーブル (パブリック プレビュー)を使用することです。
定期的なログ配信を構成する場合は、「 監査ログ配信の構成」を参照してください。
監査ログサービス
次のサービスとそのイベントは、デフォルトで監査ログに記録されます。
ワークスペースレベルのサービス
ワークスペースレベルの監査ログは、次のサービスで使用できます。
サービス名 |
説明 |
---|---|
アカウント、ユーザー、グループ、IPアクセスリストに関連するイベント。 |
|
クラスターポリシーに関連するイベント。 |
|
クラスターに関連するイベント。 |
|
AI/BI ダッシュボードの使用に関連するイベント。 |
|
Databricks SQLの使用に関連するイベント。 |
|
レイクハウスモニタリングに関するイベント。 |
|
DBFSに関連するイベント。 |
|
Delta Live Tablesパイプラインに関連するイベント。 |
|
Databricks Feature Storeに関連するイベント。 |
|
ファイル管理に関連するイベント (Files API を使用したファイル操作やボリューム UI でのファイルの操作など)。 |
|
サポート担当者によるワークスペース アクセスに関連するイベント。 |
|
Databricks Git フォルダーの Git 資格情報に関連するイベント。 |
|
グローバルinitスクリプトに関連するイベント。 |
|
アカウントとワークスペースグループに関連するイベント。 |
|
IAMロールの権限に関連するイベント。 |
|
ファイルのアップロードに関連するイベント。 |
|
プールに関連するイベント。 |
|
ジョブに関連するイベント。 |
|
Databricks Marketplace での消費者のアクションに関連するイベント。 |
|
Databricks Marketplace のプロバイダーアクションに関連するイベント。 |
|
ACLを使用したML Flowアーティファクトに関連するイベント。 |
|
ML Flowエクスペリメントに関連するイベント。 |
|
ワークスペース モデルフィールドに関連するイベント。 Unity Catalog 内のモデルのアクティビティ ログについては、 「Unity Catalog イベント」を参照してください。 |
|
ノートブックに関連するイベント。 |
|
Partner Connectに関連するイベント。 |
|
予測的最適化に関連するイベント。 |
|
GitHub資格情報の追加と削除に関連するイベント。 |
|
Databricks Git フォルダーに関連するイベント。 |
|
シークレットに関連するイベント。 |
|
モデルサービングに関連するイベント。 |
|
レガシーHive metastoreコントロールに関連するイベント。 |
|
SSHアクセスに関連するイベント。 |
|
Mosaic AI Vector Searchに関連するイベント。 |
|
Webターミナル機能に関連するイベント。 |
|
ワークスペースに関連するイベント。 |
アカウントレベルのサービス
アカウント レベルの監査ログは、次のサービスで利用できます。
サービス名 |
説明 |
---|---|
アカウントコンソールでの請求対象使用量アクセスに関連するアクション。 |
|
アカウントレベルのアクセスとID管理に関連するアクション。 |
|
アカウント レベルのアクセス制御ルールに関連するアクション。 |
|
アカウント コンソールで実行されたアクション。 |
|
予算ポリシーの管理に関連するアクション。 |
|
請求対象使用量や監査ログなどのログ配信設定。 |
|
アカウントコンソールへのOAuth SSO認証に関連するアクション。 |
|
サービスプリンシパルの資格情報に関連するアクション。 |
|
アカウントのシングルサインオン設定。 |
|
Unity Catalogで実行されたアクション。 これにはDelta Sharingイベントも含まれます。 Delta Sharingイベントを参照してください。 |
追加のセキュリティ モニタリング サービス
ワークスペースには、セキュリティ プロファイル(FedRAMP、PCI、HIPPA などの一部のセキュリティ標準に必要)または拡張セキュリティモニタリングを使用する追加のサービスと関連アクションがあります。
これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されるワークスペース レベルのサービスです。
サービス名 |
説明 |
---|---|
ファイルの整合性モニタリングに関連するアクション。 |
|
ウイルス対策モニタリングに関するアクション。 |
|
プロセス モニターに関連するアクション。 |
|
システムログに関連するアクション。 |
監査ログのサンプルスキーマ
Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceName
プロパティとactionName
プロパティで識別されます。命名規則はDatabricks REST APIに従います。
次の例は、createMetastoreAssignment
イベントのものです。
{
"version":"2.0",
"auditLevel":"ACCOUNT_LEVEL",
"timestamp":1629775584891,
"orgId":"3049056262456431186970",
"shardName":"test-shard",
"accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
"sourceIPAddress":"10.2.91.100",
"userAgent":"curl/7.64.1",
"sessionId":"f836a03a-d360-4792-b081-baba525324312",
"userIdentity":{
"email":"crampton.rods@email.com",
"subjectName":null
},
"serviceName":"unityCatalog",
"actionName":"createMetastoreAssignment",
"requestId":"ServiceMain-da7fa5878f40002",
"requestParams":{
"workspace_id":"30490590956351435170",
"metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
"default_catalog_name":"main"
},
"response":{
"statusCode":200,
"errorMessage":null,
"result":null
},
"MAX_LOG_MESSAGE_LENGTH":16384
}
監査ログのスキーマに関する考慮事項
アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアの
requestId
は同じものになります。オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、
System-User
ユーザーによって実行されます。requestParams
フィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncated
が追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATED
キーが設定されます。
アカウントイベント
ワークスペースレベルでログに記録されるaccounts
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、非アクティブ化された後、再アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks ワークスペースに追加されます。 |
|
|
|
ユーザーがワークスペース レベルのグループに追加されます。 |
|
|
|
認証にX509証明書を使用してユーザーアカウントが追加されました。 |
|
|
|
ユーザーは X509 認証を使用して Databricks にログインします。 |
|
|
|
ユーザーの Databricks SQL 権限が変更されます。 |
|
|
|
ワークスペースへの権限が変更されます。 |
|
|
|
トークンの権限が変更されたとき。 |
|
|
|
ユーザーのパスワードが変更されました。 |
|
|
|
アカウント内のパスワード変更権限が変更されます。 |
|
|
|
サービスプリンシパルの権限が変更されたとき。 |
|
|
|
ワークスペース レベルのグループが作成されます。 |
|
|
|
IP アクセス リストがワークスペースに追加されます。 |
|
|
|
ワークスペース内でユーザーが非アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks ワークスペースから削除されます。 |
|
|
|
IP アクセス リストがワークスペースから削除されます。 |
|
|
|
ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
|
|
|
誰かがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。 |
|
|
|
ユーザーは拒否された IP を介してサービスに接続しようとします。 |
|
|
|
|
|
|
|
ユーザーは JWT を使用して Databricks にログインします。 |
|
|
|
ユーザーがワークスペースにログインします。 |
|
|
|
ユーザーがワークスペースからログアウトします。 |
|
|
|
新しいセキュリティキーをユーザー登録します。 |
|
|
|
ユーザーがセキュリティ キーを削除しました。 |
|
|
|
ユーザーは MFA を使用して Databricks にログインします。 |
|
|
|
API 呼び出しが汎用 OIDC/OAuth トークンを通じて承認される場合。 |
|
|
|
|
|
|
|
現在の期限切れでないトークンの数がトークンクォータを超えたとき |
|
|
|
ユーザーのワークスペース管理者権限が取り消されます。 |
|
|
|
グループがワークスペースから削除されます。 |
|
|
|
ユーザーがグループから削除されます。 |
|
|
|
ユーザーのパスワードがリセットされます。 |
|
|
|
ユーザーのトークンがワークスペースから削除されます。 ユーザーが Databricks アカウントから削除されることによってトリガーされる可能性があります。 |
|
|
|
ユーザーは SAML SSO を通じて Databricks にログインします。 |
|
|
|
ユーザーにアカウント管理者権限が付与されます。 |
|
|
|
ユーザーはトークンを使用して Databricks にログインします。 |
|
|
|
IP アクセス リストが変更されます。 |
|
|
|
アカウント管理者がユーザーのアカウントを更新します。 |
|
|
|
ユーザーがアカウント作成後に電子メールを検証するとき。 |
|
クラスターイベント
ワークスペースレベルでログに記録されるcluster
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがクラスター ACL を変更します。 |
|
|
|
ユーザーがクラスターを作成します。 |
|
|
|
クラスター作成の結果。 |
|
|
|
クラスターが終了しました。 |
|
|
|
クラスター終了の結果。 |
|
|
|
ユーザーがクラスター設定を変更します。 これにより、クラスターのサイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。 |
|
|
|
クラスターが UI から削除されます。 |
|
|
|
クラスターのサイズが変更されます。 これは稼働中のクラスターに記録され、変更される唯一のプロパティはクラスターのサイズまたはオートスケールの動作のいずれかです。 |
|
|
|
クラスターのサイズ変更の結果。 |
|
|
|
ユーザーが稼働中のクラスターを再起動します。 |
|
|
|
クラスターの再起動の結果。 |
|
|
|
ユーザーがクラスターを開始します。 |
|
|
|
クラスター開始からの結果。 |
|
クラスターライブラリイベント
ワークスペースレベルでログに記録されるclusterLibraries
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーはクラスターにライブラリをインストールします。 |
|
|
|
ユーザーがクラスター上のライブラリをアンインストールします。 |
|
|
|
ワークスペース管理者は、すべてのクラスターにライブラリをインストールするようにスケジュールします。 |
|
|
|
ワークスペース管理者は、すべてのクラスターにインストールするライブラリをリストから削除します。 |
|
クラスターポリシーイベント
ワークスペースレベルでログに記録されるclusterPolicies
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがクラスターポリシーを作成しました。 |
|
|
|
ユーザーがクラスターポリシーを編集しました。 |
|
|
|
ユーザーがクラスターポリシーを削除しました。 |
|
|
|
ワークスペース管理者がクラスターポリシーの権限を変更します。 |
|
ダッシュボードのイベント
ワークスペースレベルでログに記録されるdashboards
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することによって、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。 |
|
|
|
ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、公開されたバージョンのダッシュボードにアクセスします。 ワークスペース ユーザーとアカウント ユーザーの両方のアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードの PDF スナップショットの受信は除外されます。 |
|
|
|
ユーザーがダッシュボードからクエリを実行します。 |
|
|
|
ユーザーがダッシュボードからクエリをキャンセルしました。 |
|
|
|
ユーザーは、ダッシュボードからクエリの結果を受け取ります。 |
|
|
|
ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。 要求パラメーターの値は、受信者のタイプによって異なります。 Databricks 通知先の場合、 |
|
|
|
ユーザーは、データセットやウィジェットなどのドラフト ダッシュボードの詳細にアクセスします。 |
|
|
|
ユーザーは、UI または API を使用して新しい AI/BI ダッシュボードを作成します。 |
|
|
|
ユーザーは UI または API を使用して AI/BI ダッシュボードを更新します。 |
|
|
|
ユーザーが AI/BI ダッシュボードを複製します。 |
|
|
|
ユーザーは、UI または API を使用して、埋め込み資格情報の有無にかかわらず AI/BI ダッシュボードを公開します。 |
|
|
|
ユーザーは、UI または API を使用して、公開された AI/BI ダッシュボードを非公開にします。 |
|
|
|
ユーザーは、UI または API を使用して AI/BI ダッシュボードをゴミ箱に移動します。 |
|
|
|
ユーザーがゴミ箱から AI/BI ダッシュボードを復元します。 |
|
|
|
ユーザーは DBSQL ダッシュボードを AI/BI ダッシュボードに移行します。 |
|
|
|
ユーザーが電子メール購読スケジュールを作成します。 |
|
|
|
ユーザーが AI/BI ダッシュボードのスケジュールを更新します。 |
|
|
|
ユーザーが AI/BI ダッシュボードのスケジュールを削除します。 |
|
|
|
ユーザーは、電子メールの送信先をAI/BIダッシュボード スケジュールに登録します。 |
|
|
|
ユーザーがAI/BIダッシュボード スケジュールから電子メールの宛先を削除します。 |
|
Databricks SQLイベント
ワークスペースレベルでログに記録されるdatabrickssql
イベントを次に示します。
注:
従来の SQL サーバAPIを使用して SQL ウェアハウスを管理する場合、SQL ウェアハウス監査イベントには異なるアクション名が付けられます。 SQL ログを参照してください。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ウィジェットがダッシュボードに追加されます。 |
|
|
|
クエリの実行は SQL エディター UI からキャンセルされます。 これには、クエリー履歴 UI またはDatabricks SQL実行APIから発生したキャンセルは含まれません。 |
|
|
|
ウェアハウス マネージャーは、SQL ウェアハウスの権限を更新します。 |
|
|
|
ユーザーがオブジェクトの権限を更新します。 |
|
|
|
ユーザーがダッシュボードを複製します。 |
|
|
|
詳細な監査ログのみ。 リクエストの送信元に関係なく、コマンドが SQL ウェアハウスに送信されたときに生成されます。 |
|
|
|
詳細な監査ログのみ。 キャンセル要求の発生元に関係なく、SQL ウェアハウスのコマンドが完了またはキャンセルされたときに生成されます。 |
|
|
|
ユーザーがアラートを作成します。 |
|
|
|
ワークスペース管理者が通知先を作成します。 |
|
|
|
ユーザーがダッシュボードを作成します。 |
|
|
|
ユーザーがデータ プレビュー ダッシュボードを作成します。 |
|
|
|
クラスター作成権限を持つユーザーが SQL ウェアハウスを作成します。 |
|
|
|
ユーザーが新しいクエリを作成します。 |
|
|
|
ユーザーがクエリの下書きを作成します。 |
|
|
|
ユーザーがクエリ スニペットを作成します。 |
|
|
|
ユーザーがサンプル ダッシュボードを作成します。 |
|
|
|
ユーザーは SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用する、デフォルト結果テーブルとビジュアル化を除外します。 |
|
|
|
ユーザーは、アラート インターフェイスまたは API を通じてアラートを削除します。 ファイル ブラウザーの UI からの削除を除外します。 |
|
|
|
ワークスペース管理者が通知先を削除します。 |
|
|
|
ユーザーは、ダッシュボード インターフェースから、または API を通じてダッシュボードを削除します。 ファイルブラウザUIによる削除を除外します。 |
|
|
|
ユーザーがダッシュボードウィジェットを削除します。 |
|
|
|
ウェアハウス管理者が SQL ウェアハウスを削除します。 |
|
|
|
ユーザーは、クエリ インターフェイスまたは API を通じてクエリを削除します。 ファイルブラウザUIによる削除を除外します。 |
|
|
|
ユーザーがクエリの下書きを削除します。 |
|
|
|
ユーザーがクエリ スニペットを削除します。 |
|
|
|
ユーザーは、SQL エディターのクエリから視覚化を削除します。 |
|
|
|
ユーザーは SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。 |
|
|
|
ウェアハウス マネージャーは SQL ウェアハウスを編集します。 |
|
|
|
次のいずれかによって生成されます。
|
|
|
|
ユーザーが保存されたクエリを実行します。 |
|
|
|
ダッシュボード パネルを更新するようなクエリを実行するイベントによって生成されます。 適用可能なイベントの例としては、次のようなものがあります。
|
|
|
|
ユーザーがダッシュボードをお気に入りに登録します。 |
|
|
|
ユーザーがクエリをお気に入りに登録します。 |
|
|
|
ユーザーがクエリを複製します。 |
|
|
|
ユーザーがクエリ一覧ページを開くか、リスト クエリ API を呼び出します。 |
|
|
|
ユーザーがアラートをゴミ箱に移動します。 |
|
|
|
ユーザーがダッシュボードをゴミ箱に移動します。 |
|
|
|
ユーザーがクエリをゴミ箱に移動します。 |
|
|
|
ユーザーがごみ箱からアラートを復元します。 |
|
|
|
ユーザーがごみ箱からダッシュボードを復元します。 |
|
|
|
ユーザーがごみ箱からクエリを復元します。 |
|
|
|
ウェアハウス マネージャーは、SQL ウェアハウスの構成を設定します。 |
|
|
|
ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。 |
|
|
|
SQLウェアハウスを始めました。 |
|
|
|
ウェアハウスマネージャはSQLウェアハウスを停止します。 自動停止したウェアハウスは除きます。 |
|
|
|
ワークスペース管理者は、オブジェクト所有権の転送 API を通じて、ダッシュボード、クエリ、またはアラートの所有権をアクティブ ユーザーに譲渡します。 UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。 |
|
|
|
ユーザーがダッシュボードをお気に入りから削除します。 |
|
|
|
ユーザーがお気に入りからクエリを削除します。 |
|
|
|
ユーザーがアラートを更新します。 |
|
|
|
ワークスペース管理者が通知先を更新します。 |
|
|
|
ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更を除外します。 適用可能な更新プログラムの例は次のとおりです。
|
|
|
|
ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例は次のとおりです。
|
|
|
|
ワークスペース管理者は、ワークスペースの SQL 設定を更新します。 |
|
|
|
ユーザーがクエリを更新します。 |
|
|
|
ユーザーがクエリの下書きを更新します。 |
|
|
|
ユーザーがクエリ スニペットを更新します。 |
|
|
|
ユーザーは、SQL エディターまたはダッシュボードのいずれかから視覚化を更新します。 |
|
データモニタリングイベント
次のdataMonitoring
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがモニターを作成します。 |
|
|
|
ユーザーがモニターを更新します。 |
|
|
|
ユーザーがモニターを削除します。 |
|
|
|
モニターは、スケジュールまたは手動で更新されます。 |
|
DBFSイベント
次の表には、ワークスペース レベルで記録されたdbfs
イベントが含まれています。
DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。
DBFS API イベント
次の DBFS 監査イベントは、 DBFS REST APIを通じて書き込まれた場合にのみログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーはストリームにデータ ブロックを追加します。 これは、 dbfs/create と組み合わせて使用され、データをDBFSにストリームします。 |
|
|
|
ユーザーはストリームを開いて、ファイルを DBF に書き込みます。 |
|
|
|
ユーザーが DBF からファイルまたはディレクトリを削除します。 |
|
|
|
ユーザーが新しい DBFS ディレクトリを作成します。 |
|
|
|
ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。 |
|
|
|
ユーザーは、マルチパート フォーム ポストを使用して DBF にファイルをアップロードします。 |
|
Deltaパイプラインイベント
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがパイプラインの権限を変更します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを作成します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを削除します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを編集します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを再起動します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを停止します。 |
|
Feature Storeイベント
次のfeatureStore
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
コンシューマーがFeature Storeに追加されます。 |
|
|
|
データソースが特徴量テーブルに追加されます。 |
|
|
|
特徴量テーブルにプロデューサーが追加されます。 |
|
|
|
権限は特性テーブルで変更されます。 |
|
|
|
特徴量テーブルが作成されます。 |
|
|
|
特徴は特徴量テーブルに作成されます。 |
|
|
|
特徴量テーブルが削除されます。 |
|
|
|
タグは特徴量テーブルから削除されます。 |
|
|
|
ユーザーは、特徴量テーブル内の消費者を取得するために呼び出しを行います。 |
|
|
|
ユーザーは特徴量テーブルを取得するために呼び出しを行います。 |
|
|
|
ユーザーは特徴量テーブル ID を取得するために呼び出しを行います。 |
|
|
|
ユーザーが呼び出しを行って機能を取得します。 |
|
|
|
ユーザーはモデルサービング メタデータを取得するために呼び出しを行います。 |
|
|
|
ユーザーはオンラインストアの詳細を取得するために電話をかけます。 |
|
|
|
ユーザーは、特徴量テーブルのタグを取得するために呼び出しを行います。 |
|
|
|
特徴量表が公開されました。 |
|
|
|
ユーザーが特徴量表を検索します。 |
|
|
|
タグが特徴量表に追加されます。 |
|
|
|
特徴量表が更新されました。 |
|
ファイルイベント
次のfilesystem
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。 |
|
|
|
ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。 |
|
|
|
ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。 |
|
|
|
ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。 |
|
Genieイベント
次のgenie
イベントがワークスペース レベルで記録されます。
注:
このサービスは、AI/BI Genieスペースとは無関係です。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
Databricks の担当者は顧客環境にアクセスする権限を持っています。 |
|
Git認証情報イベント
次のgitCredentials
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが git 資格情報を取得します。 |
|
|
|
ユーザーがすべての git 資格情報を一覧表示します |
なし |
|
|
ユーザーが git 資格情報を削除します。 |
|
|
|
ユーザーが git 資格情報を更新します。 |
|
|
|
ユーザーが git 資格情報を作成します。 |
|
グローバルinitスクリプトイベント
次のglobalInitScripts
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者はグローバル初期化スクリプトを作成します。 |
|
|
|
ワークスペース管理者がグローバル初期化スクリプトを更新します。 |
|
|
|
ワークスペース管理者がグローバル初期化スクリプトを削除します。 |
|
グループイベント
次のgroups
イベントがワークスペース レベルで記録されます。 これらのアクションは、従来の ACL グループに関連しています。 アカウントおよびワークスペース レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者はユーザーをグループに追加します。 |
|
|
|
管理者がグループを作成します。 |
|
|
|
管理者はグループのメンバーを表示します。 |
|
|
|
管理者はグループのリストを表示します |
なし |
|
|
管理者は継承されたグループを閲覧する |
なし |
|
|
管理者がグループを削除します。 |
|
IAMロールイベント
次のiamRole
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者が IAM ロールの権限を変更します。 |
|
インジェストイベント
次のingestion
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Databricks ワークスペースにファイルをアップロードします。 |
|
インスタンスプールイベント
次のinstancePools
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがインスタンス プールの権限を変更します。 |
|
|
|
ユーザーがインスタンス プールを作成します。 |
|
|
|
ユーザーがインスタンス プールを削除します。 |
|
|
|
ユーザーがインスタンス プールを編集します。 |
|
ジョブイベント
次のjobs
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ジョブの実行がキャンセルされました。 |
|
|
|
ユーザーがジョブのすべての実行をキャンセルします。 |
|
|
|
ユーザーがジョブの権限を更新します。 |
|
|
|
ユーザーがジョブを作成します。 |
|
|
|
ユーザーがジョブを削除します。 |
|
|
|
ユーザーがジョブ実行を削除します。 |
|
|
|
ユーザーは API 呼び出しを行って実行出力を取得します。 |
|
|
|
ユーザーがジョブ実行を修復します。 |
|
|
|
ジョブがリセットされます。 |
|
|
|
ユーザーがジョブの権限の変更を要求します。 |
|
|
|
詳細な監査ログが有効になっている場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に発行されます。 コマンドはノートブックのセルに対応します。 |
|
|
|
ジョブの実行が失敗しました。 |
|
|
|
ユーザーがオンデマンド ジョブの実行をトリガーします。 |
|
|
|
検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから発行されるリクエストは、ジョブ内のタスクのタイプによって異なります。 リストされているものに加えて、次のものも含めることができます。
|
|
|
|
ジョブの実行は成功しました。 |
|
|
|
ジョブ スケジュールは、スケジュールまたはトリガーに従って自動的にトリガーされます。 |
|
|
|
ジョブが開始、完了、または失敗したときに、Webhook が送信されます。 |
|
|
|
ユーザーがタスクの値を設定します。 |
|
|
|
ユーザーは API 経由で 1 回限りの実行を送信します。 |
|
|
|
ユーザーがジョブの設定を編集します。 |
|
Marketplaceコンシューマーイベント
次のmarketplaceConsumer
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは Databricks Marketplace を通じてデータ製品にアクセスします。 |
|
|
|
ユーザーは、プロバイダーの承認を必要とするデータ製品へのアクセスを要求します。 |
|
Marketplaceプロバイダーイベント
次のmarketplaceProvider
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
メタストア管理者は、プロバイダー プロファイルにリストを作成します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルのリストを更新します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルの一覧を削除します。 |
|
|
|
メタストア管理者はデータ製品リクエストを承認または拒否します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを作成します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを更新します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを削除します。 |
|
|
|
プロバイダーは、プロバイダープロファイルにファイルをアップロードします。 |
|
|
|
プロバイダーは、プロバイダー プロファイルからファイルを削除します。 |
|
ACLを伴うMLflowアーティファクトイベント
次のmlflowAcledArtifact
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがアーティファクトを読み取るために呼び出しを行います。 |
|
|
|
ユーザーがアーティファクトに書き込むための呼び出しを行います。 |
|
MLflowエクスペリメントイベント
次のmlflowExperiment
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがMLflow拡張機能を作成します。 |
|
|
|
ユーザーがMLflow拡張機能を削除します。 |
|
|
|
ユーザーがMLflow拡張機能を移動します。 |
|
|
|
ユーザーがMLflow拡張機能を復元します。 |
|
|
|
ユーザーがMLflow拡張機能の名前を変更します。 |
|
MLflowモデルレジストリイベント
次のmlflowModelRegistry
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがモデル バージョン ステージの移行要求を承認します。 |
|
|
|
ユーザーが登録済みモデルの権限を更新します。 |
|
|
|
ユーザーがモデル バージョンにコメントを投稿します。 |
|
|
|
ユーザーがモデル バージョンを作成します。 |
|
|
|
ユーザーが新しい登録済みモデルを作成する |
|
|
|
ユーザーはModel Registryイベントの Webhook を作成します。 |
|
|
|
ユーザーがモデル バージョン ステージの移行リクエストを作成します。 |
|
|
|
ユーザーがモデル バージョンのコメントを削除します。 |
|
|
|
ユーザーがモデル バージョンを削除します。 |
|
|
|
ユーザーがモデル バージョン タグを削除します。 |
|
|
|
ユーザーが登録済みのモデルを削除した場合 |
|
|
|
ユーザーが登録済みのモデルのタグを削除します。 |
|
|
|
ユーザーがModel Registry Webhook を削除します。 |
|
|
|
ユーザーがモデル バージョン ステージの移行要求をキャンセルします。 |
|
|
|
モデルの非同期コピーが完了しました。 |
|
|
|
バッチ推論ノートブックが自動生成されます。 |
|
|
|
Delta Live Tables パイプラインの推論ノートブックが自動生成されます。 |
|
|
|
ユーザーは、モデル バージョンをダウンロードするための URI を取得します。 |
|
|
|
ユーザーは、署名されたモデル バージョンをダウンロードするための URI を取得します。 |
|
|
|
ユーザーは、モデルの成果物を一覧表示する呼び出しを行います。 |
|
|
|
ユーザーは、モデル内のすべてのレジストリ Webhook を一覧表示する呼び出しを行います。 |
|
|
|
ユーザーがモデル バージョン ステージの移行要求を拒否します。 |
|
|
|
ユーザーが登録済みモデルの名前を変更する |
|
|
|
ユーザーが登録モデルのEメール購読ステータスを更新する |
|
|
|
ユーザーがモデル バージョン タグを設定します。 |
|
|
|
ユーザーがモデル バージョン タグを設定します。 |
|
|
|
ユーザーは、レジストリ全体の電子メール通知ステータスを更新します。 |
|
|
|
ユーザーがModel Registry Webhook をテストします。 |
|
|
|
ユーザーは、モデル バージョンのすべてのオープン ステージの移行リクエストのリストを取得します。 |
|
|
|
Model Registry Webhook はイベントによってトリガーされます。 |
|
|
|
ユーザーがモデル バージョンのコメントに編集を投稿します。 |
|
|
|
ユーザーがModel Registry Webhook を更新します。 |
|
モデルサービングイベント
次のserverlessRealTimeInference
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが推論エンドポイントのアクセス許可を更新します。 |
|
|
|
ユーザーはモデルサービングエンドポイントを作成します。 |
|
|
|
ユーザーがモデルサーバーエンドポイントを削除します。 |
|
|
|
ユーザーは登録されたモデルのモデルサービングを無効にします。 |
|
|
|
ユーザーは登録したモデルに対してモデルサービングを有効にします。 |
|
|
|
ユーザーは、クエリ スキーマのプレビューを取得するための呼び出しを行います。 |
|
|
|
ユーザーがモデルサーバーエンドポイントを更新します。 |
|
|
|
ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。 |
|
ノートブックイベント
次のnotebook
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ノートブックはクラスターに接続されます。 |
|
|
|
ユーザーがノートブックを複製します。 |
|
|
|
ノートブックが作成されます。 |
|
|
|
ノートブックフォルダが削除されます。 |
|
|
|
ノートブックが削除されます。 |
|
|
|
ノートブックがクラスターから切り離されます。 |
|
|
|
ユーザーがダウンロードしたクエリ結果は大きすぎてノートブックに表示できません。 |
|
|
|
ユーザーがクエリ結果をダウンロードします。 |
|
|
|
ユーザーがノートブックをインポートします。 |
|
|
|
ノートブック フォルダーが、ある場所から別の場所に移動されます。 |
|
|
|
ノートブックは、ある場所から別の場所に移動されます。 |
|
|
|
ノートブックの名前が変更されます。 |
|
|
|
削除したフォルダが復元されます。 |
|
|
|
削除されたノートブックが復元されます。 |
|
|
|
詳細な監査ログが有効になっている場合に使用できます。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドはノートブックのセルに対応します。
|
|
|
|
ノートブックのスナップショットは、ジョブ サービスまたは mlflow のいずれかが実行されたときに作成されます。 |
|
Partner Connectイベント
次のpartnerHub
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者はパートナー ソリューションへの接続を設定します。 |
|
|
|
ワークスペース管理者がパートナー接続を削除します。 |
|
|
|
ワークスペース管理者がパートナー接続ファイルをダウンロードします。 |
|
|
|
ワークスペース管理者は、パートナー接続用のリソースを設定します。 |
|
予測的最適化イベント
次のpredictiveOptimization
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
予測的最適化によってテーブルとワークロード メトリックが更新されたときに記録され、サービスが最適化操作をよりインテリジェントにスケジュールできるようになります。 |
|
|
|
アカウント管理者は、メタストアの予測的最適化を有効または無効にします。 |
|
リモート履歴サービスイベント
次のremoteHistoryService
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Github 資格情報を追加する |
なし |
|
|
ユーザーが Github 資格情報を削除する |
なし |
|
|
ユーザーが Github の資格情報を更新する |
なし |
Gitフォルダイベント
次のrepos
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがリポジトリ上のブランチをチェックアウトします。 |
|
|
|
ユーザーがコミットしてリポジトリにプッシュします。 |
|
|
|
ユーザーがワークスペースに Repo ジトリを作成する |
|
|
|
ユーザーがリポジトリを削除します。 |
|
|
|
ユーザーがリポジトリへのコミットを破棄します。 |
|
|
|
ユーザーは、単一のリポジトリに関する情報を取得するために呼び出しを行います。 |
|
|
|
ユーザーは、管理アクセス許可を持つすべてのリポジトリを取得するために呼び出しを行います。 |
|
|
|
ユーザーはリポジトリから最新のコミットをプルします。 |
|
|
|
ユーザーは、リポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。 |
|
シークレットイベント
次のsecrets
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがシークレットスコープを作成します。 |
|
|
|
ユーザーはシークレットスコープの ACL を削除します。 |
|
|
|
ユーザーがシークレットスコープを削除します。 |
|
|
|
ユーザーがスコープからシークレットを削除します。 |
|
|
|
ユーザーはシークレットスコープの ACL を取得します。 |
|
|
|
ユーザーがスコープからシークレットを取得します。 |
|
|
|
ユーザーは、シークレットスコープの ACL を一覧表示するために呼び出しを行います。 |
|
|
|
ユーザーがシークレットスコープを一覧表示するために呼び出しを行う |
なし |
|
|
ユーザーは、スコープ内のシークレットを一覧表示する呼び出しを行います。 |
|
|
|
ユーザーはシークレットスコープの ACL を変更します。 |
|
|
|
ユーザーがスコープ内でシークレットを追加または編集します。 |
|
SQLテーブルアクセスイベント
注:
sqlPermissions
サービスには、従来のHive metastoreテーブルアクセスコントロールに関連するイベントが含まれます。 Databricks 、 Hive metastoreによって管理されるテーブルをUnity Catalogメタストアにアップグレードすることをお勧めします。
次のsqlPermissions
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者またはオブジェクトの所有者がオブジェクトの所有権を譲渡します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトを作成します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトを削除します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を取り消します。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可を表示します。 |
|
SSHイベント
次のssh
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
Spark ドライバーへの SSH エージェント ログイン。 |
|
|
|
エージェントはSparkドライバーからSSHをログアウトします。 |
|
Vector searchイベント
次のvectorSearch
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがベクトル検索エンドポイントを作成します。 |
|
|
|
ユーザーがベクトル検索エンドポイントを削除します。 |
|
|
|
ユーザーがベクトル検索インデックスを作成します。 |
|
|
|
ユーザーがベクトル検索インデックスを削除します。 |
|
Webターミナルイベント
次のwebTerminal
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Web ターミナル セッションを開始します。 |
|
|
|
ユーザーが Web ターミナル セッションを閉じます。 |
|
ワークスペースイベント
次のworkspace
イベントがワークスペース レベルで記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペースへの権限が変更されます。 |
|
|
|
ワークスペースから設定が削除されます。 |
|
|
|
ユーザーがワークスペースにファイルを作成します。 |
|
|
|
ユーザーがワークスペース内のファイルを削除します。 |
|
|
|
ユーザーがファイルエディタを開きます。 |
|
|
|
ユーザーはワークスペースのユーザー ロールを取得します。 |
|
|
|
社内 OAuth 認証コードがワークスペース レベルで作成されたときに記録されます。 |
|
|
|
ワークスペース用の OAuth トークンが作成されます。 |
|
|
|
ワークスペース管理者がワークスペース ノードを移動します。 |
|
|
|
ワークスペース管理者はワークスペース ノードを消去します。 |
|
|
|
ワークスペースに再度追加されたユーザーに対して、既存のホームフォルダーが再度接続されます。 |
|
|
|
ワークスペース管理者がワークスペース ノードの名前を変更します。 |
|
|
|
ユーザーがワークスペースから削除されると、ホーム フォルダーの特殊属性は削除されます。 |
|
|
|
ワークスペース管理者はワークスペース ユーザーの役割を更新します。 |
|
|
|
ワークスペース管理者は、ワークスペースにプリンシパルを追加します。 |
|
|
|
ワークスペース管理者はワークスペース設定を構成します。 |
|
|
|
ワークスペース管理者は、詳細な監査ログを有効にするなど、設定を更新します。 |
|
|
|
ユーザーはワークスペースからノートブックをエクスポートします。 |
|
|
|
OAuth クライアントはワークスペース サービスで認証されます。 |
|
課金利用イベント
次のaccountBillableUsage
イベントがアカウント レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、使用状況グラフ機能を使用して、アカウントの集計された課金利用 (1 日あたりの使用量) にアクセスしました。 |
|
|
|
ユーザーは、使用状況ダウンロード機能を使用して、アカウントの詳細な課金利用 (各クラスターの使用状況) にアクセスしました。 |
|
アカウントレベルのアカウントイベント
次のaccounts
イベントがアカウント レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
OAuth クライアントが認証されます。 |
|
|
|
IP アクセス許可の検証に失敗します。 statusCode 403 を返します。 |
|
|
|
ユーザーは、非アクティブ化された後、再アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks アカウントに追加されます。 |
|
|
|
ユーザーがアカウント レベルのグループに追加されます。 |
|
|
|
ユーザーは、SCIM プロビジョニングを使用してアカウント レベルのグループに追加されます。 |
|
|
|
アカウントレベルのグループが作成されます。 |
|
|
|
ユーザーが非アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks アカウントから削除されます。 |
|
|
|
アカウント管理者がDatabricksから設定を削除します。 |
|
|
|
ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。 |
|
|
|
ユーザーは、ユーザー設定からトークンを生成するか、サービスがトークンを生成するときにトークンを生成します。 |
|
|
|
ユーザーがアカウント コンソールにログインします。 |
|
|
|
ユーザーがアカウント コンソールからログアウトします。 |
|
|
|
社内 OAuth 認証コードがアカウント レベルで生成されたときに記録されます。 |
|
|
|
サービスプリンシパルにアカウントレベルのOAuthトークンが発行されます。 |
|
|
|
ユーザーは、OpenID Connect ブラウザ ワークフローを使用して自分のアカウントにログインします。 |
|
|
|
アカウント管理者のログインには OIDC トークンが認証されます。 |
|
|
|
ユーザーのパスワードは、アカウント コンソールのログイン時に検証されます。 |
|
|
|
アカウント管理者は、別のユーザーからアカウント管理者権限を削除します。 |
|
|
|
グループがアカウントから削除されます。 |
|
|
|
ユーザーがアカウント レベルのグループから削除されます。 |
|
|
|
SCIM プロビジョニングを使用して、ユーザーはアカウント レベルのグループから削除されます。 |
|
|
|
アカウント管理者は、アカウント管理者の役割を別のユーザーに割り当てます。 |
|
|
|
アカウント管理者がアカウント レベルの設定を更新します。 |
|
|
|
ユーザーはトークンを使用して Databricks にログインします。 |
|
|
|
アカウント管理者がユーザー アカウントを更新します。 |
|
|
|
アカウント管理者がアカウント レベルのグループを更新します。 |
|
|
|
ユーザーがアカウント作成後に電子メールを検証するとき。 |
|
アカウントレベルのアクセス制御イベント
次のaccountsAccessControl
イベントがアカウント レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ルール セットが変更されたとき。 |
|
アカウント管理イベント
次のaccountsManager
イベントがアカウント レベルで記録されます。 これらのイベントは、アカウント コンソールでアカウント管理者が行った構成に関係しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者はワークスペースのサービス利用規約に同意します。 |
|
|
|
アカウント管理者がユーザーのパスワードをリセットします。 リセット後にユーザーがパスワードを変更したかどうかも記録します。 |
|
|
|
アカウント所有者の役割が別のアカウント管理者に譲渡されます。 |
|
|
|
アカウントは Databricks によって別のアカウントと統合されました。 |
|
|
|
アカウント管理者が資格情報構成を作成しました。 |
|
|
|
アカウント管理者が顧客管理キー構成を作成しました。 |
|
|
|
アカウント管理者がネットワーク構成を作成しました。 |
|
|
|
アカウント管理者がプライベート アクセス設定構成を作成しました。 |
|
|
|
アカウント管理者がストレージ構成を作成しました。 |
|
|
|
アカウント管理者が VPC エンドポイント構成を作成しました。 |
|
|
|
アカウント管理者が新しいワークスペースを作成します。 |
|
|
|
アカウント管理者が資格情報の構成を削除しました。 |
|
|
|
アカウント管理者が顧客管理キー構成を削除しました。 |
|
|
|
アカウント管理者がネットワーク構成を削除しました。 |
|
|
|
アカウント管理者がプライベート アクセス設定の構成を削除しました。 |
|
|
|
アカウント管理者がストレージ構成を削除しました。 |
|
|
|
アカウント管理者が VPC エンドポイント構成を削除しました。 |
|
|
|
アカウント管理者がワークスペースを削除しました。 |
|
|
|
アカウント管理者は資格情報の構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、顧客管理キー構成の詳細を要求します。 |
|
|
|
アカウント管理者はネットワーク構成の詳細を要求します。 |
|
|
|
アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。 |
|
|
|
アカウント管理者はストレージ構成の詳細を要求します。 |
|
|
|
アカウント管理者は、VPC エンドポイント構成の詳細を要求します。 |
|
|
|
アカウント管理者がワークスペースの詳細を要求します。 |
|
|
|
アカウント管理者は、アカウント内のすべての資格情報構成を一覧表示します。 |
|
|
|
アカウント admin は、アカウント内の顧客が管理するすべてのキー構成を一覧表示します。 |
|
|
|
アカウント admin は、アカウント内のすべてのネットワーク構成を一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのプライベート アクセス設定構成を一覧表示します。 |
|
|
|
アカウント admin は、アカウント内のすべてのストレージ構成を一覧表示します。 |
|
|
|
アカウント管理者は、すべてのアカウント課金サブスクリプションを一覧表示します。 |
|
|
|
アカウント管理者は、アカウントのすべてのVPCエンドポイント構成を一覧表示しました。 |
|
|
|
アカウント admin は、アカウント内のすべてのワークスペースを一覧表示します。 |
|
|
|
アカウント管理者は、特定のワークスペース内のすべての暗号化キー レコードを一覧表示します。 |
|
|
|
アカウント admin は、アカウント内のすべての暗号化キー レコードを一覧表示します。 |
|
|
|
Databricks利用規約に同意するための電子メールがワークスペース管理者に送信されました。 |
|
|
|
アカウントの詳細が内部的に変更されました。 |
|
|
|
アカウントの課金サブスクリプションが更新されました。 |
|
|
|
管理者がワークスペースの構成を更新しました。 |
|
Budget ポリシー イベント
次の budgetPolicyCentral
イベントはアカウント レベルで記録され、予算ポリシーに関連しています。 予算ポリシーによるサーバレス使用料の按分を参照してください。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者または請求管理者が予算ポリシーを作成します。 新しい |
|
|
|
ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを更新します。 |
|
|
|
ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを削除します。 |
|
配信イベントのログ
次のlogDelivery
イベントがアカウント レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者がログ配信構成を作成しました。 |
|
|
|
管理者がログ配信構成の詳細を要求しました。 |
|
|
|
管理者はアカウント内のすべてのログ配信構成をリストしました。 |
|
|
|
管理者がログ配信構成を更新しました。 |
|
Oauth SSOイベント
次のoauth2
イベントはアカウント レベルで記録され、アカウント コンソールへの OAuth SSO 認証に関連しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者がカスタム アプリ統合を作成します。 |
|
|
|
ワークスペース管理者は、公開されたアプリ統合を使用してアプリ統合を作成します。 |
|
|
|
ワークスペース管理者がカスタム アプリの統合を削除します。 |
|
|
|
ワークスペース管理者が公開済みのアプリ統合を削除します。 |
|
|
|
ワークスペース管理者が OAuth にアカウントを登録します。 |
|
|
|
ワークスペース管理者がカスタム アプリの統合を更新します。 |
|
|
|
ワークスペース管理者は公開されたアプリの統合を更新します。 |
|
サービスプリンシパル資格情報イベント (パブリック プレビュー)
次のservicePrincipalCredentials
イベントがアカウント レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者は、サービスプリンシパルのOAuthシークレットを生成します。 |
|
|
|
アカウント管理者は、サービスプリンシパルの下にすべてのOAuthシークレットを一覧表示します。 |
|
|
|
アカウント管理者がサービスプリンシパルのOAuthシークレットを削除します。 |
|
シングルサインオンイベント
次のssoConfigBackend
イベントはアカウント レベルで記録され、アカウント コンソールの SSO 認証に関連しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者がアカウント コンソールのSSO構成を作成しました。 |
|
|
|
アカウント管理者がアカウント コンソールのSSO構成の詳細を要求しました。 |
|
|
|
アカウント管理者がアカウント コンソールのSSO構成を更新しました。 |
|
Unity Catalogイベント
次の監査イベントは Unity Catalog に関連しています。 Delta Sharingイベントも unityCatalog
サービス に記録されます。 Delta Sharingイベントについては、 Delta Sharingイベント」を参照してください。 Unity Catalog 監査イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログに記録できます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者がメタストアを作成します。 |
|
|
|
アカウント管理者がメタストア ID を要求します。 |
|
|
|
アカウント管理者がメタストアの詳細を要求します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのメタストアのリストを要求します。 |
|
|
|
アカウント管理者がメタストアを更新します。 |
|
|
|
アカウント管理者がメタストアを削除します。 |
|
|
|
アカウント管理者がメタストアのワークスペース割り当てを更新します。 |
|
|
|
アカウント管理者が外部ロケーションを作成します。 |
|
|
|
アカウント管理者が外部ロケーションの詳細を要求します。 |
|
|
|
アカウント管理者は、アカウント内のすべての外部ロケーションのリストを要求します。 |
|
|
|
アカウント管理者が外部ロケーションを更新します。 |
|
|
|
アカウント管理者が外部ロケーションを削除します。 |
|
|
|
ユーザーがカタログを作成します。 |
|
|
|
ユーザーがカタログを削除します。 |
|
|
|
ユーザーがカタログの詳細を要求します。 |
|
|
|
ユーザーがカタログを更新します。 |
|
|
|
ユーザーは、メタストア内のすべてのカタログを一覧表示する呼び出しを行います。 |
|
|
|
ユーザーがスキーマを作成します。 |
|
|
|
ユーザーがスキーマを削除します。 |
|
|
|
ユーザーがスキーマの詳細を要求します。 |
|
|
|
ユーザーがカタログ内のすべてのスキーマのリストを要求します。 |
|
|
|
ユーザーがスキーマを更新します。 |
|
|
|
|
|
|
|
ユーザーがテーブルを作成します。 リクエストの呼び出しは、作成されるテーブルのタイプによって異なります。 |
|
|
|
ユーザーがテーブルを削除します。 |
|
|
|
ユーザーがテーブルの詳細を要求します。 |
|
|
|
|
|
|
|
ユーザーは、スキーマ内のすべてのテーブルを一覧表示する呼び出しを行います。 |
|
|
|
ユーザーは、メタストア内のスキーマとカタログのテーブルの概要の配列を取得します。 |
|
|
|
ユーザーがテーブルを更新します。 表示されるリクエストは、行われたテーブル更新の種類によって異なります。 |
|
|
|
アカウント管理者がストレージ資格情報を作成します。 クラウド プロバイダーの資格情報に基づいて、追加のリクエスト パラメーターが表示される場合があります。 |
|
|
|
アカウント管理者は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。 |
|
|
|
アカウント管理者がストレージ資格情報の詳細を要求します。 |
|
|
|
アカウント管理者がストレージ資格情報を更新します。 |
|
|
|
アカウント管理者がストレージ資格情報を削除します。 |
|
|
|
テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何を照会したかを判断できます。 |
|
|
|
パスに一時的な資格情報が付与されるたびにログに記録されます。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得するために呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得するために呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。 |
|
|
|
ユーザーは、以前のテーブル バージョンのメタデータをクエリします。 |
|
|
|
ユーザーは、以前のテーブル バージョンのメタデータとアクセス許可を照会します。 |
|
|
|
ユーザーは、以前のテーブル バージョンからメタデータを更新します。 |
|
|
|
ユーザーが呼び出しを行って、外部キーの詳細を取得します。 |
|
|
|
ユーザーが呼び出しを行って、スキーマの詳細を取得します。 |
|
|
|
ユーザーがテーブルの制約を作成します。 |
|
|
|
ユーザーがテーブルの制約を削除します。 |
|
|
|
ユーザーがUnity Catalog Pipeline を作成します。 |
|
|
|
ユーザーがUnity Catalog Pipeline を更新します。 |
|
|
|
ユーザーがUnity Catalog Pipeline の詳細を要求します。 |
|
|
|
ユーザーがUnity Catalog Pipeline を削除します。 |
|
|
|
リソースの削除に失敗しました |
なし |
|
|
ユーザーがUnity Catalogボリュームを作成します。 |
|
|
|
ユーザーはUnity Catalogボリュームの情報を取得するために呼び出しを行います。 |
|
|
|
ユーザーは、 |
|
|
|
ユーザーがUnity Catalogボリュームを削除します。 |
|
|
|
ユーザーは、スキーマ内のすべてのUnity Catalogボリュームのリストを取得するために呼び出しを行います。 |
|
|
|
一時的な資格情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行したときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。 |
|
|
|
セキュリティ保護可能なタグの割り当てが取得されます |
|
|
|
サブエンティティのタグ割り当てが取得されます |
|
|
|
セキュリティ保護可能なタグの割り当てが更新されます |
|
|
|
サブエンティティのタグ割り当てが更新されます |
|
|
|
ユーザーはUnity Catalog登録されたモデルを作成します。 |
|
|
|
ユーザーは、 Unity Catalogに登録されているモデルの情報を取得するために呼び出しを行います。 |
|
|
|
ユーザーはUnity Catalog登録されたモデルのメタデータを更新します。 |
|
|
|
ユーザーがUnity Catalog登録されているモデルを削除します。 |
|
|
|
ユーザーは、スキーマ内のUnity Catalogに登録されているモデルのリストを取得するか、カタログとスキーマ全体のモデルをリストするために呼び出しを行います。 |
|
|
|
ユーザーはUnity Catalogでモデル バージョンを作成します。 |
|
|
|
ユーザーは、モデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「ファイナライズ」するための呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。 |
|
|
|
ユーザーが呼び出して、モデル バージョンの詳細を取得します。 |
|
|
|
ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。 |
|
|
|
ユーザーがモデル バージョンのメタデータを更新します。 |
|
|
|
ユーザーがモデル バージョンを削除します。 |
|
|
|
ユーザーは、登録されたモデル内のUnity Catalogモデル バージョンのリストを取得するために呼び出しを行います。 |
|
|
|
一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンの確定後) を実行したときに生成されます。 このイベントを使用して、誰がいつモデル バージョンにアクセスしたかを判断できます。 |
|
|
|
ユーザーは、 Unity Catalogに登録されたモデルにエイリアスを設定します。 |
|
|
|
ユーザーがUnity Catalogに登録されたモデルのエイリアスを削除します。 |
|
|
|
ユーザーはエイリアスによってUnity Catalogモデル バージョンを取得します。 |
|
|
|
新しい外部接続が作成されます。 |
|
|
|
外部接続が削除されます。 |
|
|
|
外部接続が取得されます。 |
|
|
|
外部接続が更新されます。 |
|
|
|
メタストア内の外部接続が一覧表示されます。 |
|
|
|
ユーザーが新しい関数を作成します。 |
|
|
|
ユーザーが関数を更新します。 |
|
|
|
ユーザーは、特定の親カタログまたはスキーマ内のすべての関数のリストを要求します。 |
|
|
|
ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
|
ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
|
|
|
|
|
|
Delta Sharingイベント
Delta Sharingイベントは、データ プロバイダーのアカウントに記録されるイベントと、データ受信者のアカウントに記録されるイベントの 2 つのセクションに分かれています。
Delta Sharing プロバイダーイベント
次の監査ログ イベントがプロバイダーのアカウントに記録されます。 受信者によって実行されるアクションは、 deltaSharing
プレフィックスで始まります。 これらの各ログには、共有データを管理するメタストアである request_params.metastore_id
と、アクティビティを開始したユーザーの ID である userIdentity.email
も含まれています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
データ受信者が共有のリストを要求します。 |
|
|
|
データ受信者は、共有に関する詳細を要求します。 |
|
|
|
データ受信者が共有スキーマのリストを要求します。 |
|
|
|
データ受信者は、すべての共有テーブルのリストを要求します。 |
|
|
|
データ受信者が共有テーブルのリストを要求します。 |
|
|
|
データ受信者は、テーブルのメタデータに関する詳細を要求します。 |
|
|
|
データ受信者は、テーブルのバージョンに関する詳細を要求します。 |
|
|
|
データ受信者が共有テーブルをクエリしたときにログに記録されます。 |
|
|
|
データ受信者がテーブルのデータ変更をクエリしたときにログに記録されます。 |
|
|
|
データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
|
データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
|
データ受信者が共有ノートブック ファイルのリストを要求します。 |
|
|
|
データ受信者が共有ノートブック ファイルを照会します。 |
|
|
|
データ受信者は、親スキーマ内の関数のリストを要求します。 |
|
|
|
データ受信者は、すべての共有機能のリストを要求します。 |
|
|
|
データ受信者は、関数バージョンのリストを要求します。 |
|
|
|
データ受信者は、スキーマ内の共有ボリュームのリストを要求します。 |
|
|
|
データ受信者は、すべての共有ボリュームを要求します。 |
|
|
|
プロバイダーがメタストアを更新します。 |
|
|
|
プロバイダーは、データ受信者を作成します。 |
|
|
|
プロバイダーは、データ受信者を削除します。 |
|
|
|
プロバイダーは、データ受信者に関する詳細を要求します。 |
|
|
|
プロバイダーは、すべてのデータ受信者のリストを要求します。 |
なし |
|
|
プロバイダーは受信者のトークンをローテーションします。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、共有に関する詳細を要求します。 |
|
|
|
プロバイダーは、共有にデータ資産を追加または削除します。 |
|
|
|
プロバイダーは、共有のリストを要求します。 |
なし |
|
|
プロバイダーは、共有のアクセス許可の詳細を要求します。 |
|
|
|
プロバイダーは、共有のアクセス許可を更新します。 |
|
|
|
プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。 |
|
|
|
プロバイダーは、アクティベーションリンクのアクティビティに関する詳細を要求します。 |
|
|
|
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
|
|
|
受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
|
Delta Sharing受信者イベント
次のイベントはデータ受信者のアカウントに記録されます。 これらのイベントは、共有データおよび AI アセットへの受信者のアクセスと、プロバイダーの管理に関連するイベントを記録します。 これらの各イベントには、次のリクエストも含まれます。
recipient_name
: データプロバイダのシステム内の受信者の名前。metastore_id
: データ プロバイダーのシステム内のメタストアの名前。sourceIPAddress
: 要求が発信された IP アドレス。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
データ受信者は、共有テーブルのバージョンの詳細を要求します。 |
|
|
|
データ受信者は、共有テーブルのメタデータの詳細を要求します。 |
|
|
|
データ受信者が共有テーブルを照会します。 |
|
|
|
データ受信者は、テーブルの変更データを照会します。 |
|
|
|
データ受信者は、プロバイダー オブジェクトを作成します。 |
|
|
|
データ受信者がプロバイダー オブジェクトを更新します。 |
|
|
|
データ受信者がプロバイダー オブジェクトを削除します。 |
|
|
|
データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。 |
|
|
|
データ受信者がプロバイダーのリストを要求します。 |
なし |
|
|
データ受信者は、プロバイダー オブジェクトをアクティブ化します。 |
|
|
|
データ受信者は、プロバイダーの共有の一覧を要求します。 |
|
|
|
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
|
|
|
受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
|
システムログイベント
注:
監査ログ内のresponse
JSON オブジェクトには、元のシステム ログの内容を含むresult
フィールドがあります。
次のsyslog
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
システム・ログはイベントを処理します。 |
|
プロセス・モニター・ログ・イベント
次のmonit
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
モニターは実行されていません。 |
|
|
|
モニターが再起動しています。 |
|
|
|
モニターが起動しました。 |
|
|
|
モニターは実行中です。 |
|
追加のセキュリティモニタリングイベント
クラスターやプロ、またはクラシック SQL Databricksウェアハウスの VM など、 クラシック プレーン の コンピュート リソースの場合、次の機能によって追加のモニタリング エージェントが有効になります。
コンプライアンス セキュリティ プロファイル。 コンプライアンス セキュリティ プロファイルは、 PCI-DSS 、 HIPPA 、およびFedRAMP Moderateのコンプライアンス コントロールに必要です。
サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 「どのコンピュート リソースがセキュリティを強化するか」および「コンプライアンス セキュリティ プロファイル コンプライアンス標準とサーバレス コンピュート availability」を参照してください。
ファイル整合性モニタリングイベント
次のcapsule8-alerts-dataplane
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
モニターがオンになっていることを確認する定期的なイベント。 現在10分ごとに実行しています。 |
|
|
|
メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 |
|
|
|
重要なシステムファイルの整合性を監視します。 これらのファイルへの不正な変更を警告します。 Databricks はイメージ上の特定のシステム パス セットを定義しますが、このパス セットは時間の経過とともに変更される可能性があります。 |
|
|
|
systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
|
プログラムのクラッシュが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、影響を受けるアプリケーションに安定性の問題があることを示している可能性があります。 セグメンテーション違反により、個々のプログラムのインスタンスが 5 つ以上クラッシュした場合にアラートを発します。 |
|
|
|
コンテナは通常、静的なワークロードであるため、このアラートは、攻撃者がコンテナを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されるとアラートを出します。 |
|
|
|
メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。 |
|
|
|
インタラクティブ シェルは、現代の本番運用インフラストラクチャではまれにしか発生しません。 リバース シェルで一般的に使用される引数を使用して対話型シェルが開始されたときにアラートします。 |
|
|
|
コマンド ログの回避は攻撃者にとって一般的な手法ですが、正当なユーザーが不正なアクションを実行したり、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザーのコマンド履歴ログへの変更が検出された場合、ユーザーがコマンドログを回避しようとしていることを示します。 |
|
|
|
ある種のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムのロードは、攻撃者が持続性を獲得し検出を回避するために BPF ベースのルートキットをロードしていることを示している可能性があります。 プロセスがすでに進行中のインシデントの一部である場合、プロセスが新しい特権 BPF プログラムをロードするとアラートを出します。 |
|
|
|
攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして検出を回避し、侵害されたノードの永続性を維持します。 プログラムがすでに進行中のインシデントの一部である場合、カーネル モジュールがロードされるときにアラートを発します。 |
|
|
|
攻撃者は、正当なシステム プログラムまたはサービスになりすますために、悪意のあるバイナリを作成したり、名前の末尾にスペースが含まれるように名前を変更したりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行するとアラートが鳴ります。 |
|
|
|
カーネル権限昇格のエクスプロイトにより、通常、権限のないユーザーは、権限変更の標準ゲートを通過せずにroot権限を取得できます。 プログラムが通常とは異なる手段で権限を昇格しようとしたときに警告します。 これにより、大きなワークロードを持つノードで誤検知アラートが発行される可能性があります。 |
|
|
|
内部カーネル関数は通常のプログラムからはアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを強力に示しています。 カーネル関数が予期せずユーザー空間に戻ったときにアラートします。 |
|
|
|
SMEP と SMAP は、カーネルのエクスプロイトが成功するのを困難にするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネルのエクスプロイトにおける一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんしたときにアラートを発します。 |
|
|
|
プログラムがコンテナ エスケープ エクスプロイトでよく使用されるカーネル関数を使用する場合にアラートを発します。これは、攻撃者が権限をコンテナ アクセスからノード アクセスに昇格していることを示します。 |
|
|
|
特権コンテナはホスト リソースに直接アクセスできるため、侵害された場合の影響が大きくなります。 コンテナが kube-proxy などの既知の特権イメージではない場合、特権コンテナが起動されるとアラートを出します。 これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。 |
|
|
|
多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御します。 コンテナで作成されたファイルがコンテナ外から実行されたときにアラートを発します。 |
|
|
|
特定のAppArmor属性の変更はカーネル内でのみ発生し、AppArmorがカーネルエクスプロイトまたはルートキットによって無効化されたことを示します。 センサーの起動時に検出された AppArmor 構成から AppArmor 状態が変更された場合にアラートを発します。 |
|
|
|
攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 SSH セッションでユーザーによって実行されなかった場合に、AppArmor プロファイルを変更するコマンドが実行されるとアラートを出します。 |
|
|
|
信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されていない場合、ブート ファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更していることを示している可能性があります。 |
|
|
|
ログ管理ツールによって実行されないログの削除は、攻撃者が侵害の痕跡を削除しようとしていることを示している可能性があります。 システム ログ ファイルの削除に関するアラート。 |
|
|
|
システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルのエクスプロイト、またはエクスプロイト チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されるとアラートが発せられます。 |
|
|
|
ルート証明書ストアの変更は、不正な証明機関のインストールを示しており、ネットワーク トラフィックの傍受やコード署名検証のバイパスを可能にする可能性があります。 システム CA 証明書ストアが変更されたときにアラートを発します。 |
|
|
|
|
|
|
|
攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連するプロセスによって隠しファイルが作成された場合にアラートします。 |
|
|
|
攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システム ユーティリティを変更する可能性があります。 共通システム ユーティリティが不正なプロセスによって変更された場合に警告します。 |
|
|
|
攻撃者または悪意のあるユーザーは、これらのプログラムを使用またはインストールして、接続されているネットワークを調査して、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラートを発します。 |
|
|
|
攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワーク サービスを開始する可能性があります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが新しいネットワーク サービスを開始するとアラートします。 |
|
|
|
攻撃者または不正なユーザーがネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報を取得する可能性があります。 ネットワークキャプチャを許可するプログラムが実行されたときにアラートを発します。 |
|
|
|
ファイル転送ツールの使用は、攻撃者がツールセットを追加のホストに移動したり、リモートシステムにデータを盗み出そうとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。 |
|
|
|
コマンドと制御チャンネルと暗号通貨マイナーは、通常とは異なるポートで新しい送信ネットワーク接続を作成することがよくあります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが通常とは異なるポートで新しい接続を開始したときにアラートを発します。 |
|
|
|
システムにアクセスした後、攻撃者はファイルの圧縮アーカイブを作成して、流出するデータのサイズを小さくする可能性があります。 データ圧縮プログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートが発せられます。 |
|
|
|
プロセス インジェクション技術の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスから秘密を読み取ったり、他のプロセスにコードを挿入したりしていることを示す場合もあります。 プログラムが |
|
|
|
攻撃者は、アカウント列挙プログラムを使用して、アクセス レベルを判別したり、他のユーザーが現在ノードにログインしているかどうかを確認したりすることがよくあります。 アカウント列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。 |
|
|
|
ファイルシステムの探索は、攻撃者が関心のある認証情報やデータを探すための一般的なエクスプロイト後の動作です。 ファイルとディレクトリの列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。 |
|
|
|
攻撃者は、ローカル ネットワークとルート情報を照会して、横方向の移動に先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。 |
|
|
|
攻撃者は、ノードの目的やセキュリティまたはモニタリング ツールが配置されているかどうかを識別するために、実行中のプログラムをリスト化することがよくあります。 プロセス列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。 |
|
|
|
攻撃者は通常、システム列挙コマンドを実行して Linux カーネルとディストリビューションのバージョンと機能を判断し、ノードが特定の脆弱性の影響を受けているかどうかを確認します。 システム情報列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。 |
|
|
|
スケジュールされたタスクを変更することは、侵害されたノード上で永続性を確立するための一般的な方法です。 |
|
|
|
systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
|
ルート・ユーザーへの明示的なエスカレーションにより、特権アクティビティーを特定のユーザーに関連付ける機能が低下します。 |
|
|
|
|
|
|
|
履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。 |
|
|
|
攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 システム更新プログラムによってエンティティが追加されていない場合、ローカル アカウント管理ファイル |
|
|
|
攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 既存のユーザー情報の更新とは関係のないプログラムによって、ユーザーパスワードに関連するファイルが変更された場合にアラートを発します。 |
|
|
|
新しいSSH公開鍵の追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 プログラムがすでに進行中のインシデントの一部である場合、ユーザーの SSH |
|
|
|
新しいユーザーを追加することは、侵害されたノード上で永続性を確立する際に攻撃者がよく行う手段です。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたときにアラートが発生します。 |
|
|
|
履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。 |
|
|
|
ユーザープロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するために、永続化の方法として変更されることがよくあります。 |
|
ウイルス対策モニタリングイベント
注:
これらの監査ログ内のresponse
JSON オブジェクトには常に、元のスキャン結果の 1 行を含むresult
フィールドが含まれます。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。
次のclamAVScanService-dataplane
イベントがワークスペース レベルで記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ウイルス対策モニタリングがスキャンを実行します。 ログは、元のスキャン出力の各行に対して生成されます。 |
|
廃止されたログイベント
Databricks では、次の databrickssql
監査イベントが非推奨になりました。
createAlertDestination
(現在はcreateNotificationDestination
)deleteAlertDestination
(現在はdeleteNotificationDestination
)updateAlertDestination
(現在はupdateNotificationDestination
)muteAlert
unmuteAlert
SQL ログ
非推奨の SQL アドレスAPI (SQL ウェアハウスの旧称) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名には Warehouse
ではなく Endpoint
という単語が含まれます。 名前を除けば、これらのイベントは SQL ウェアハウス イベントと同一です。 これらのイベントの説明と要求を表示するには、 Databricks SQLイベントの対応するイベントを参照してください。
SQL トランザクション イベントは次のとおりです。
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig