監査ログのリファレンス

注:

この機能を使用するには、プレミアムプラン以上が必要です。

この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。

アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、システムテーブル (パブリック プレビュー)を使用することです。

定期的なログ配信を構成する場合は、「 監査ログ配信の構成」を参照してください。

監査ログサービス

次のサービスとそのイベントは、デフォルトで監査ログに記録されます。

ワークスペースレベルのサービス

ワークスペースレベルの監査ログは、次のサービスで使用できます。

サービス名

説明

accounts

アカウント、ユーザー、グループ、IPアクセスリストに関連するイベント。

clusterPolicies

クラスターポリシーに関連するイベント。

clusters

クラスターに関連するイベント。

dashboards

AI/BI ダッシュボードの使用に関連するイベント。

databrickssql

Databricks SQLの使用に関連するイベント。

dataMonitoring

レイクハウスモニタリングに関するイベント。

dbfs

DBFSに関連するイベント。

deltaPipelines

Delta Live Tablesパイプラインに関連するイベント。

featureStore

Databricks Feature Storeに関連するイベント。

ファイルシステム

ファイル管理に関連するイベント (Files API を使用したファイル操作やボリューム UI でのファイルの操作など)。

genie

サポート担当者によるワークスペース アクセスに関連するイベント。

gitCredentials

Databricks Git フォルダーの Git 資格情報に関連するイベント。 reposも参照してください。

globalInitScripts

グローバルinitスクリプトに関連するイベント。

groups

アカウントとワークスペースグループに関連するイベント。

iamRole

IAMロールの権限に関連するイベント。

取り込み

ファイルのアップロードに関連するイベント。

instancePools

プールに関連するイベント。

jobs

ジョブに関連するイベント。

marketplaceConsumer

Databricks Marketplace での消費者のアクションに関連するイベント。

marketplaceプロバイダー

Databricks Marketplace のプロバイダーアクションに関連するイベント。

mlflowAcledArtifact

ACLを使用したML Flowアーティファクトに関連するイベント。

MLflow エクスペリメント

ML Flowエクスペリメントに関連するイベント。

modelRegistry

ワークスペース モデルフィールドに関連するイベント。 Unity Catalog 内のモデルのアクティビティ ログについては、 「Unity Catalog イベント」を参照してください。

notebook

ノートブックに関連するイベント。

partnerConnect

Partner Connectに関連するイベント。

predictiveOptimization

予測的最適化に関連するイベント。

remoteHistoryService

GitHub資格情報の追加と削除に関連するイベント。

repos

Databricks Git フォルダーに関連するイベント。 gitCredentialsも参照してください。

secrets

シークレットに関連するイベント。

serverlessRealTimeInference

モデルサービングに関連するイベント。

sqlPermissions

レガシーHive metastoreコントロールに関連するイベント。

ssh

SSHアクセスに関連するイベント。

vectorSearch

Mosaic AI Vector Searchに関連するイベント。

webTerminal

Webターミナル機能に関連するイベント。

workspace

ワークスペースに関連するイベント。

アカウントレベルのサービス

アカウント レベルの監査ログは、次のサービスで利用できます。

サービス名

説明

accountBillableUsage

アカウントコンソールでの請求対象使用量アクセスに関連するアクション。

accounts

アカウントレベルのアクセスとID管理に関連するアクション。

accountsAccessControl

アカウント レベルのアクセス制御ルールに関連するアクション。

accountsManager

アカウント コンソールで実行されたアクション。

budgetPolicyCentral(バジェットポリシーセントラル)

予算ポリシーの管理に関連するアクション。

logDelivery

請求対象使用量や監査ログなどのログ配信設定。

oauth2

アカウントコンソールへのOAuth SSO認証に関連するアクション。

servicePrincipalCredentials

サービスプリンシパルの資格情報に関連するアクション。

ssoConfigBackend

アカウントのシングルサインオン設定。

unityCatalog

Unity Catalogで実行されたアクション。 これにはDelta Sharingイベントも含まれます。 Delta Sharingイベントを参照してください。

追加のセキュリティ モニタリング サービス

ワークスペースには、セキュリティ プロファイル(FedRAMP、PCI、HIPPA などの一部のセキュリティ標準に必要)または拡張セキュリティモニタリングを使用する追加のサービスと関連アクションがあります。

これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されるワークスペース レベルのサービスです。

サービス名

説明

capsule8-alerts-dataplane

ファイルの整合性モニタリングに関連するアクション。

clamAVScanService-データプレーン

ウイルス対策モニタリングに関するアクション。

monit

プロセス モニターに関連するアクション。

syslog

システムログに関連するアクション。

監査ログのサンプルスキーマ

Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceNameプロパティとactionNameプロパティで識別されます。命名規則はDatabricks REST APIに従います。

次の例は、createMetastoreAssignmentイベントのものです。

  {
    "version":"2.0",
    "auditLevel":"ACCOUNT_LEVEL",
    "timestamp":1629775584891,
    "orgId":"3049056262456431186970",
    "shardName":"test-shard",
    "accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
    "sourceIPAddress":"10.2.91.100",
    "userAgent":"curl/7.64.1",
    "sessionId":"f836a03a-d360-4792-b081-baba525324312",
    "userIdentity":{
      "email":"crampton.rods@email.com",
      "subjectName":null
    },
    "serviceName":"unityCatalog",
    "actionName":"createMetastoreAssignment",
    "requestId":"ServiceMain-da7fa5878f40002",
    "requestParams":{
      "workspace_id":"30490590956351435170",
      "metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
      "default_catalog_name":"main"
    },
    "response":{
      "statusCode":200,
      "errorMessage":null,
      "result":null
    },
    "MAX_LOG_MESSAGE_LENGTH":16384
  }

監査ログのスキーマに関する考慮事項

  • アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアのrequestIdは同じものになります。

  • オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、System-Userユーザーによって実行されます。

  • requestParamsフィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncatedが追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATEDキーが設定されます。

アカウントイベント

ワークスペースレベルでログに記録されるaccountsイベントを次に示します。

サービス

操作

説明

リクエストパラメーター

accounts

activateUser

ユーザーは、非アクティブ化された後、再アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。

  • targetUserName

  • endpoint

  • targetUserId

accounts

add

ユーザーが Databricks ワークスペースに追加されます。

  • targetUserName

  • endpoint

  • targetUserId

accounts

addPrincipalToGroup

ユーザーがワークスペース レベルのグループに追加されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

addX509

認証にX509証明書を使用してユーザーアカウントが追加されました。

accounts

certLogin

ユーザーは X509 認証を使用して Databricks にログインします。

  • user

accounts

changeDatabricksSqlAcl

ユーザーの Databricks SQL 権限が変更されます。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeDatabricksWorkspaceAcl

ワークスペースへの権限が変更されます。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeDbTokenAcl

トークンの権限が変更されたとき。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changePassword

ユーザーのパスワードが変更されました。

  • newPasswordSource

  • targetUserId

  • serviceSource

  • wasPasswordChanged

  • userId

accounts

changePasswordAcl

アカウント内のパスワード変更権限が変更されます。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeServicePrincipalAcls

サービスプリンシパルの権限が変更されたとき。

  • shardName

  • targetServicePrincipal

  • resourceId

  • aclPermissionSet

accounts

createGroup

ワークスペース レベルのグループが作成されます。

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

createIpAccessList

IP アクセス リストがワークスペースに追加されます。

  • ipAccessListId

  • userId

accounts

deactivateUser

ワークスペース内でユーザーが非アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。

  • targetUserName

  • endpoint

  • targetUserId

accounts

delete

ユーザーが Databricks ワークスペースから削除されます。

  • targetUserId

  • targetUserName

  • endpoint

accounts

deleteIpAccessList

IP アクセス リストがワークスペースから削除されます。

  • ipAccessListId

  • userId

accounts

garbageCollectDbToken

ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。

  • tokenExpirationTime

  • tokenClientId

  • userId

  • tokenCreationTime

  • tokenFirstAccessed

accounts

generateDbToken

誰かがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。

  • tokenExpirationTime

  • tokenCreatedBy

  • tokenHash

  • userId

accounts

IpAccessDenied

ユーザーは拒否された IP を介してサービスに接続しようとします。

  • path

  • user

accounts

ipAccessListQuotaExceeded

  • userId

accounts

jwtLogin

ユーザーは JWT を使用して Databricks にログインします。

  • user

accounts

login

ユーザーがワークスペースにログインします。

  • user

accounts

logout

ユーザーがワークスペースからログアウトします。

  • user

accounts

mfaAddKey

新しいセキュリティキーをユーザー登録します。

accounts

mfaDeleteKey

ユーザーがセキュリティ キーを削除しました。

  • id

accounts

mfaLogin

ユーザーは MFA を使用して Databricks にログインします。

  • user

accounts

oidcTokenAuthorization

API 呼び出しが汎用 OIDC/OAuth トークンを通じて承認される場合。

  • user

accounts

passwordVerifyAuthentication

  • user

accounts

reachMaxQuotaDbToken

現在の期限切れでないトークンの数がトークンクォータを超えたとき

accounts

removeAdmin

ユーザーのワークスペース管理者権限が取り消されます。

  • targetUserName

  • endpoint

  • targetUserId

accounts

removeGroup

グループがワークスペースから削除されます。

  • targetGroupId

  • targetGroupName

  • endpoint

accounts

removePrincipalFromGroup

ユーザーがグループから削除されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

resetPassword

ユーザーのパスワードがリセットされます。

  • serviceSource

  • userId

  • endpoint

  • targetUserId

  • targetUserName

  • wasPasswordChanged

  • newPasswordSource

accounts

revokeDbToken

ユーザーのトークンがワークスペースから削除されます。 ユーザーが Databricks アカウントから削除されることによってトリガーされる可能性があります。

  • userId

accounts

samlLogin

ユーザーは SAML SSO を通じて Databricks にログインします。

  • user

accounts

setAdmin

ユーザーにアカウント管理者権限が付与されます。

  • endpoint

  • targetUserName

  • targetUserId

accounts

tokenLogin

ユーザーはトークンを使用して Databricks にログインします。

  • tokenId

  • user

accounts

updateIpAccessList

IP アクセス リストが変更されます。

  • ipAccessListId

  • userId

accounts

updateUser

アカウント管理者がユーザーのアカウントを更新します。

  • targetUserName

  • endpoint

  • targetUserId

accounts

validateEmail

ユーザーがアカウント作成後に電子メールを検証するとき。

  • endpoint

  • targetUserName

  • targetUserId

クラスターイベント

ワークスペースレベルでログに記録されるclusterイベントを次に示します。

サービス

操作

説明

リクエストパラメーター

clusters

changeClusterAcl

ユーザーがクラスター ACL を変更します。

  • shardName

  • aclPermissionSet

  • targetUserId

  • resourceId

clusters

create

ユーザーがクラスターを作成します。

  • cluster_log_conf

  • num_workers

  • enable_elastic_disk

  • driver_node_type_id

  • start_cluster

  • docker_image

  • ssh_public_keys

  • aws_attributes

  • acl_path_prefix

  • node_type_id

  • instance_pool_id

  • spark_env_vars

  • init_scripts

  • spark_version

  • cluster_source

  • autotermination_minutes

  • cluster_name

  • autoscale

  • custom_tags

  • cluster_creator

  • enable_local_disk_encryption

  • idempotency_token

  • spark_conf

  • organization_id

  • no_driver_daemon

  • user_id

  • virtual_cluster_size

  • apply_policy_default_values

  • data_security_mode

  • runtime_engine

clusters

createResult

クラスター作成の結果。createと組み合わせて使用されます。

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

delete

クラスターが終了しました。

  • cluster_id

clusters

deleteResult

クラスター終了の結果。 delete.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

edit

ユーザーがクラスター設定を変更します。 これにより、クラスターのサイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。

  • cluster_log_conf

  • num_workers

  • enable_elastic_disk

  • driver_node_type_id

  • start_cluster

  • docker_image

  • ssh_public_keys

  • aws_attributes

  • acl_path_prefix

  • node_type_id

  • instance_pool_id

  • spark_env_vars

  • init_scripts

  • spark_version

  • cluster_source

  • autotermination_minutes

  • cluster_name

  • autoscale

  • custom_tags

  • cluster_creator

  • enable_local_disk_encryption

  • idempotency_token

  • spark_conf

  • organization_id

  • no_driver_daemon

  • user_id

  • virtual_cluster_size

  • apply_policy_default_values

  • data_security_mode

  • runtime_engine

clusters

permanentDelete

クラスターが UI から削除されます。

  • cluster_id

clusters

resize

クラスターのサイズが変更されます。 これは稼働中のクラスターに記録され、変更される唯一のプロパティはクラスターのサイズまたはオートスケールの動作のいずれかです。

  • cluster_id

  • num_workers

  • autoscale

clusters

resizeResult

クラスターのサイズ変更の結果。 resize.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

restart

ユーザーが稼働中のクラスターを再起動します。

  • cluster_id

clusters

restartResult

クラスターの再起動の結果。 restart.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

start

ユーザーがクラスターを開始します。

  • init_scripts_safe_mode

  • cluster_id

clusters

startResult

クラスター開始からの結果。 start.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

クラスターライブラリイベント

ワークスペースレベルでログに記録されるclusterLibrariesイベントを次に示します。

サービス

操作

説明

リクエストパラメーター

clusterLibraries

installLibraries

ユーザーはクラスターにライブラリをインストールします。

  • cluster_id

  • libraries

clusterLibraries

uninstallLibraries

ユーザーがクラスター上のライブラリをアンインストールします。

  • cluster_id

  • libraries

clusterLibraries

installLibraryOnAllClusters

ワークスペース管理者は、すべてのクラスターにライブラリをインストールするようにスケジュールします。

  • user

  • library

clusterLibraries

uninstallLibraryOnAllClusters

ワークスペース管理者は、すべてのクラスターにインストールするライブラリをリストから削除します。

  • user

  • library

クラスターポリシーイベント

ワークスペースレベルでログに記録されるclusterPoliciesイベントを次に示します。

サービス

操作

説明

リクエストパラメーター

clusterPolicies

create

ユーザーがクラスターポリシーを作成しました。

  • name

clusterPolicies

edit

ユーザーがクラスターポリシーを編集しました。

  • policy_id

  • name

clusterPolicies

delete

ユーザーがクラスターポリシーを削除しました。

  • policy_id

clusterPolicies

changeClusterPolicyAcl

ワークスペース管理者がクラスターポリシーの権限を変更します。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

ダッシュボードのイベント

ワークスペースレベルでログに記録されるdashboardsイベントを次に示します。

サービス

操作

説明

リクエストパラメーター

dashboards

getDashboard

ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することによって、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。

  • dashboard_id

dashboards

getPublishedDashboard

ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、公開されたバージョンのダッシュボードにアクセスします。 ワークスペース ユーザーとアカウント ユーザーの両方のアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードの PDF スナップショットの受信は除外されます。

  • dashboard_id

  • credentials_embedded

dashboards

executeQuery

ユーザーがダッシュボードからクエリを実行します。

  • dashboard_id

  • statement_id

dashboards

cancelQuery

ユーザーがダッシュボードからクエリをキャンセルしました。

  • dashboard_id

  • statement_id

dashboards

getQueryResult

ユーザーは、ダッシュボードからクエリの結果を受け取ります。

  • dashboard_id

  • statement_id

dashboards

sendDashboardSnapshot

ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。

要求パラメーターの値は、受信者のタイプによって異なります。 Databricks 通知先の場合、 destination_id のみが表示されます。 Databricksユーザーの場合は、契約者のユーザーIDとEメールアドレスが表示されます。受信者がEメールアドレスの場合は、Eメールアドレスのみが表示されます。

  • dashboard_id

  • subscriber_destination_id

  • subscriber_user_details: {

    user_id,

    email_address }

dashboards

getDashboardDetails

ユーザーは、データセットやウィジェットなどのドラフト ダッシュボードの詳細にアクセスします。 getDashboardDetailsは、ユーザーが UI を使用してドラフト ダッシュボードを表示するか、API を使用してダッシュボード定義を要求するときに常に生成されます。

  • dashboard_id

dashboards

createDashboard

ユーザーは、UI または API を使用して新しい AI/BI ダッシュボードを作成します。

  • dashboard_id

dashboards

updateDashboard

ユーザーは UI または API を使用して AI/BI ダッシュボードを更新します。

  • dashboard_id

dashboards

cloneDashboard

ユーザーが AI/BI ダッシュボードを複製します。

  • source_dashboard_id

  • new_dashboard_id

dashboards

publishDashboard

ユーザーは、UI または API を使用して、埋め込み資格情報の有無にかかわらず AI/BI ダッシュボードを公開します。

  • dashboard_id

  • credentials_embedded

  • warehouse_id

dashboards

unpublishDashboard

ユーザーは、UI または API を使用して、公開された AI/BI ダッシュボードを非公開にします。

  • dashboard_id

dashboards

trashDashboard

ユーザーは、UI または API を使用して AI/BI ダッシュボードをゴミ箱に移動します。

  • dashboard_id

dashboards

restoreDashboard

ユーザーがゴミ箱から AI/BI ダッシュボードを復元します。

  • dashboard_id

dashboards

migrateDashboard

ユーザーは DBSQL ダッシュボードを AI/BI ダッシュボードに移行します。

  • source_dashboard_id

  • new_dashboard_id

dashboards

createSchedule

ユーザーが電子メール購読スケジュールを作成します。

  • dashboard_id

  • schedule_id

dashboards

updateSchedule

ユーザーが AI/BI ダッシュボードのスケジュールを更新します。

  • dashboard_id

  • schedule_id

dashboards

deleteSchedule

ユーザーが AI/BI ダッシュボードのスケジュールを削除します。

  • dashboard_id

  • schedule_id

dashboards

createSubscription

ユーザーは、電子メールの送信先をAI/BIダッシュボード スケジュールに登録します。

  • dashboard_id

  • schedule_id

  • schedule

dashboards

deleteSubscription

ユーザーがAI/BIダッシュボード スケジュールから電子メールの宛先を削除します。

  • dashboard_id

  • schedule_id

Databricks SQLイベント

ワークスペースレベルでログに記録されるdatabrickssqlイベントを次に示します。

注:

従来の SQL サーバAPIを使用して SQL ウェアハウスを管理する場合、SQL ウェアハウス監査イベントには異なるアクション名が付けられます。 SQL ログを参照してください。

サービス

操作

説明

リクエストパラメーター

databrickssql

addDashboardWidget

ウィジェットがダッシュボードに追加されます。

  • dashboardId

  • widgetId

databrickssql

cancelQueryExecution

クエリの実行は SQL エディター UI からキャンセルされます。 これには、クエリー履歴 UI またはDatabricks SQL実行APIから発生したキャンセルは含まれません。

  • queryExecutionId

databrickssql

changeWarehouseAcls

ウェアハウス マネージャーは、SQL ウェアハウスの権限を更新します。

  • aclPermissionSet

  • resourceId

  • shardName

  • targetUserId

databrickssql

changePermissions

ユーザーがオブジェクトの権限を更新します。

  • granteeAndPermission

  • objectId

  • objectType

databrickssql

cloneDashboard

ユーザーがダッシュボードを複製します。

  • dashboardId

databrickssql

commandSubmit

詳細な監査ログのみ。 リクエストの送信元に関係なく、コマンドが SQL ウェアハウスに送信されたときに生成されます。

  • warehouseId

  • commandId

  • validation

  • commandText

databrickssql

commandFinish

詳細な監査ログのみ。 キャンセル要求の発生元に関係なく、SQL ウェアハウスのコマンドが完了またはキャンセルされたときに生成されます。

  • warehouseId

  • commandId

databrickssql

createAlert

ユーザーがアラートを作成します。

  • alertId

databrickssql

createNotificationDestination

ワークスペース管理者が通知先を作成します。

  • notificationDestinationId

  • notificationDestinationType

databrickssql

createDashboard

ユーザーがダッシュボードを作成します。

  • dashboardId

databrickssql

createDataPreviewDashboard

ユーザーがデータ プレビュー ダッシュボードを作成します。

  • dashboardId

databrickssql

createWarehouse

クラスター作成権限を持つユーザーが SQL ウェアハウスを作成します。

  • auto_resume

  • auto_stop_mins

  • channel

  • cluster_size

  • conf_pairs

  • custom_cluster_confs

  • enable_databricks_compute

  • enable_photon

  • enable_serverless_compute

  • instance_profile_arn

  • max_num_clusters

  • min_num_clusters

  • name

  • size

  • spot_instance_policy

  • tags

  • test_overrides

databrickssql

createQuery

ユーザーが新しいクエリを作成します。

  • queryId

databrickssql

createQueryDraft

ユーザーがクエリの下書きを作成します。

  • queryId

databrickssql

createQuerySnippet

ユーザーがクエリ スニペットを作成します。

  • querySnippetId

databrickssql

createSampleDashboard

ユーザーがサンプル ダッシュボードを作成します。

  • sampleDashboardId

databrickssql

createVisualization

ユーザーは SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用する、デフォルト結果テーブルとビジュアル化を除外します。

  • queryId

  • visualizationId

databrickssql

deleteAlert

ユーザーは、アラート インターフェイスまたは API を通じてアラートを削除します。 ファイル ブラウザーの UI からの削除を除外します。

  • alertId

databrickssql

deleteNotificationDestination

ワークスペース管理者が通知先を削除します。

  • notificationDestinationId

databrickssql

deleteDashboard

ユーザーは、ダッシュボード インターフェースから、または API を通じてダッシュボードを削除します。 ファイルブラウザUIによる削除を除外します。

  • dashboardId

databrickssql

deleteDashboardWidget

ユーザーがダッシュボードウィジェットを削除します。

  • widgetId

databrickssql

deleteWarehouse

ウェアハウス管理者が SQL ウェアハウスを削除します。

  • id

databrickssql

deleteQuery

ユーザーは、クエリ インターフェイスまたは API を通じてクエリを削除します。 ファイルブラウザUIによる削除を除外します。

  • queryId

databrickssql

deleteQueryDraft

ユーザーがクエリの下書きを削除します。

  • queryId

databrickssql

deleteQuerySnippet

ユーザーがクエリ スニペットを削除します。

  • querySnippetId

databrickssql

deleteVisualization

ユーザーは、SQL エディターのクエリから視覚化を削除します。

  • visualizationId

databrickssql

downloadQueryResult

ユーザーは SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。

  • fileType

  • queryId

  • queryResultId

  • credentialsEmbedded

  • credentialsEmbeddedId

databrickssql

editWarehouse

ウェアハウス マネージャーは SQL ウェアハウスを編集します。

  • auto_stop_mins

  • channel

  • cluster_size

  • confs

  • enable_photon

  • enable_serverless_compute

  • id

  • instance_profile_arn

  • max_num_clusters

  • min_num_clusters

  • name

  • spot_instance_policy

  • tags

databrickssql

executeAdhocQuery

次のいずれかによって生成されます。

  • ユーザーがSQLエディタでクエリドラフトを実行する

  • クエリは、視覚化集計から実行されます

  • ユーザーがダッシュボードを読み込み、基になるクエリを実行する

  • dataSourceId

databrickssql

executeSavedQuery

ユーザーが保存されたクエリを実行します。

  • queryId

databrickssql

executeWidgetQuery

ダッシュボード パネルを更新するようなクエリを実行するイベントによって生成されます。 適用可能なイベントの例としては、次のようなものがあります。

  • 単一パネルの更新

  • ダッシュボード全体の更新

  • スケジュールされたダッシュボードの実行

  • または 64,000 行を超えるフィルターの変更

  • widgetId

databrickssql

favoriteDashboard

ユーザーがダッシュボードをお気に入りに登録します。

  • dashboardId

databrickssql

favoriteQuery

ユーザーがクエリをお気に入りに登録します。

  • queryId

databrickssql

forkQuery

ユーザーがクエリを複製します。

  • originalQueryId

  • queryId

databrickssql

listQueries

ユーザーがクエリ一覧ページを開くか、リスト クエリ API を呼び出します。

  • filter_by

  • include_metrics

  • max_results

  • page_token

databrickssql

moveAlertToTrash

ユーザーがアラートをゴミ箱に移動します。

  • alertId

databrickssql

moveDashboardToTrash

ユーザーがダッシュボードをゴミ箱に移動します。

  • dashboardId

databrickssql

moveQueryToTrash

ユーザーがクエリをゴミ箱に移動します。

  • queryId

databrickssql

restoreAlert

ユーザーがごみ箱からアラートを復元します。

  • alertId

databrickssql

restoreDashboard

ユーザーがごみ箱からダッシュボードを復元します。

  • dashboardId

databrickssql

restoreQuery

ユーザーがごみ箱からクエリを復元します。

  • queryId

databrickssql

setWarehouseConfig

ウェアハウス マネージャーは、SQL ウェアハウスの構成を設定します。

  • data_access_config

  • enable_serverless_compute

  • instance_profile_arn

  • security_policy

  • serverless_agreement

  • sql_configuration_parameters

  • try_create_databricks_managed_starter_warehouse

databrickssql

snapshotDashboard

ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。

  • dashboardId

databrickssql

startWarehouse

SQLウェアハウスを始めました。

  • id

databrickssql

stopWarehouse

ウェアハウスマネージャはSQLウェアハウスを停止します。 自動停止したウェアハウスは除きます。

  • id

databrickssql

transferObjectOwnership

ワークスペース管理者は、オブジェクト所有権の転送 API を通じて、ダッシュボード、クエリ、またはアラートの所有権をアクティブ ユーザーに譲渡します。 UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。

  • newOwner

  • objectId

  • objectType

databrickssql

unfavoriteDashboard

ユーザーがダッシュボードをお気に入りから削除します。

  • dashboardId

databrickssql

unfavoriteQuery

ユーザーがお気に入りからクエリを削除します。

  • queryId

databrickssql

updateAlert

ユーザーがアラートを更新します。 ownerUserName は、アラートの所有権が API を使用して転送された場合に入力されます。

  • alertId

  • queryId

  • ownerUserName

databrickssql

updateNotificationDestination

ワークスペース管理者が通知先を更新します。

  • notificationDestinationId

databrickssql

updateDashboardWidget

ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更を除外します。 適用可能な更新プログラムの例は次のとおりです。

  • ウィジェットのサイズや配置を変更する

  • ウィジェットの追加または削除

  • widgetId

databrickssql

updateDashboard

ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例は次のとおりです。

  • ダッシュボード名の変更

  • SQLウェアハウスへの変更

  • 実行設定を変更する

  • dashboardId

databrickssql

updateOrganizationSetting

ワークスペース管理者は、ワークスペースの SQL 設定を更新します。

  • has_configured_data_access

  • has_explored_sql_warehouses

  • has_granted_permissions

databrickssql

updateQuery

ユーザーがクエリを更新します。 ownerUserName は、クエリの所有権が API を使用して転送された場合に入力されます。

  • queryId

  • ownerUserName

databrickssql

updateQueryDraft

ユーザーがクエリの下書きを更新します。

  • queryId

databrickssql

updateQuerySnippet

ユーザーがクエリ スニペットを更新します。

  • querySnippetId

databrickssql

updateVisualization

ユーザーは、SQL エディターまたはダッシュボードのいずれかから視覚化を更新します。

  • visualizationId

データモニタリングイベント

次のdataMonitoringイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

dataMonitoring

CreateMonitor

ユーザーがモニターを作成します。

  • data_classification_config

  • full_table_name_arg

  • assets_dir

  • schedule

  • output_schema_name

  • notifications

  • inference_log

dataMonitoring

UpdateMonitor

ユーザーがモニターを更新します。

  • data_classification_config

  • table_name

  • full_table_name_arg

  • drift_metrics_table_name

  • dashboard_id

  • custom_metrics

  • assets_dir

  • monitor_version

  • profile_metrics_table_name

  • baseline_table_name

  • status

  • output_schema_name

  • inference_log

  • slicing_exprs

dataMonitoring

DeleteMonitor

ユーザーがモニターを削除します。

  • full_table_name_arg

dataMonitoring

RunRefresh

モニターは、スケジュールまたは手動で更新されます。

  • full_table_name_arg

DBFSイベント

次の表には、ワークスペース レベルで記録されたdbfsイベントが含まれています。

DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。

DBFS API イベント

次の DBFS 監査イベントは、 DBFS REST APIを通じて書き込まれた場合にのみログに記録されます。

サービス

操作

説明

リクエストパラメーター

dbfs

addBlock

ユーザーはストリームにデータ ブロックを追加します。 これは、 dbfs/create と組み合わせて使用され、データをDBFSにストリームします。

  • handle

  • data_length

dbfs

create

ユーザーはストリームを開いて、ファイルを DBF に書き込みます。

  • path

  • bufferSize

  • overwrite

dbfs

delete

ユーザーが DBF からファイルまたはディレクトリを削除します。

  • recursive

  • path

dbfs

mkdirs

ユーザーが新しい DBFS ディレクトリを作成します。

  • path

dbfs

move

ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。

  • dst

  • source_path

  • src

  • destination_path

dbfs

put

ユーザーは、マルチパート フォーム ポストを使用して DBF にファイルをアップロードします。

  • path

  • overwrite

DBFS運用イベント

コンピュート プレーンでは、次のDBFS監査イベントが発生します。

サービス

操作

説明

リクエストパラメーター

dbfs

mount

ユーザーは特定の DBFS の場所にマウント ポイントを作成します。

  • mountPoint

  • owner

dbfs

unmount

ユーザーは特定の DBFS の場所にあるマウント ポイントを削除します。

  • mountPoint

Deltaパイプラインイベント

サービス

操作

説明

リクエストパラメーター

deltaPipelines

changePipelineAcls

ユーザーがパイプラインの権限を変更します。

  • shardId

  • targetUserId

  • resourceId

  • aclPermissionSet

deltaPipelines

create

ユーザーが Delta Live Tables パイプラインを作成します。

  • allow_duplicate_names

  • clusters

  • configuration

  • continuous

  • development

  • dry_run

  • id

  • libraries

  • name

  • storage

  • target

  • channel

  • edition

  • photon

deltaPipelines

delete

ユーザーが Delta Live Tables パイプラインを削除します。

  • pipeline_id

deltaPipelines

edit

ユーザーが Delta Live Tables パイプラインを編集します。

  • allow_duplicate_names

  • clusters

  • configuration

  • continuous

  • development

  • expected_last_modified

  • id

  • libraries

  • name

  • pipeline_id

  • storage

  • target

  • channel

  • edition

  • photon

deltaPipelines

startUpdate

ユーザーが Delta Live Tables パイプラインを再起動します。

  • cause

  • full_refresh

  • job_task

  • pipeline_id

deltaPipelines

stop

ユーザーが Delta Live Tables パイプラインを停止します。

  • pipeline_id

Feature Storeイベント

次のfeatureStoreイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

featureStore

addConsumer

コンシューマーがFeature Storeに追加されます。

  • features

  • job_run

  • notebook

featureStore

addDataSources

データソースが特徴量テーブルに追加されます。

  • feature_table

  • paths, tables

featureStore

addProducer

特徴量テーブルにプロデューサーが追加されます。

  • feature_table

  • job_run

  • notebook

featureStore

changeFeatureTableAcl

権限は特性テーブルで変更されます。

  • aclPermissionSet

  • resourceId

  • shardName

  • targetUserId

featureStore

createFeatureTable

特徴量テーブルが作成されます。

  • description

  • name

  • partition_keys

  • primary_keys

  • timestamp_keys

featureStore

createFeatures

特徴は特徴量テーブルに作成されます。

  • feature_table

  • features

featureStore

deleteFeatureTable

特徴量テーブルが削除されます。

  • name

featureStore

deleteTags

タグは特徴量テーブルから削除されます。

  • feature_table_id

  • keys

featureStore

getConsumers

ユーザーは、特徴量テーブル内の消費者を取得するために呼び出しを行います。

  • feature_table

featureStore

getFeatureTable

ユーザーは特徴量テーブルを取得するために呼び出しを行います。

  • name

featureStore

getFeatureTablesById

ユーザーは特徴量テーブル ID を取得するために呼び出しを行います。

  • ids

featureStore

getFeatures

ユーザーが呼び出しを行って機能を取得します。

  • feature_table

  • max_results

featureStore

getModelServingMetadata

ユーザーはモデルサービング メタデータを取得するために呼び出しを行います。

  • feature_table_features

featureStore

getOnlineStore

ユーザーはオンラインストアの詳細を取得するために電話をかけます。

  • cloud

  • feature_table

  • online_table

  • store_type

featureStore

getTags

ユーザーは、特徴量テーブルのタグを取得するために呼び出しを行います。

  • feature_table_id

featureStore

publishFeatureTable

特徴量表が公開されました。

  • cloud

  • feature_table

  • host

  • online_table

  • port

  • read_secret_prefix

  • store_type

  • write_secret_prefix

featureStore

searchFeatureTables

ユーザーが特徴量表を検索します。

  • max_results

  • page_token

  • text

featureStore

setTags

タグが特徴量表に追加されます。

  • feature_table_id

  • tags

featureStore

updateFeatureTable

特徴量表が更新されました。

  • description

  • name

ファイルイベント

次のfilesystemイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

filesystem

filesGet

ユーザーは、Files API またはボリューム UI を使用してファイルをダウンロードします。

  • path

  • transferredSize

filesystem

filesPut

ユーザーは、Files API またはボリューム UI を使用してファイルをアップロードします。

  • path

  • receivedSize

filesystem

filesDelete

ユーザーは、Files API またはボリューム UI を使用してファイルを削除します。

  • path

filesystem

filesHead

ユーザーは、Files API またはボリューム UI を使用してファイルに関する情報を取得します。

  • path

Genieイベント

次のgenieイベントがワークスペース レベルで記録されます。

注:

このサービスは、AI/BI Genieスペースとは無関係です。

サービス

操作

説明

リクエストパラメーター

genie

databricksAccess

Databricks の担当者は顧客環境にアクセスする権限を持っています。

  • duration

  • approver

  • reason

  • authType

  • user

Git認証情報イベント

次のgitCredentialsイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

gitCredentials

getGitCredential

ユーザーが git 資格情報を取得します。

  • id

gitCredentials

listGitCredentials

ユーザーがすべての git 資格情報を一覧表示します

なし

gitCredentials

deleteGitCredential

ユーザーが git 資格情報を削除します。

  • id

gitCredentials

updateGitCredential

ユーザーが git 資格情報を更新します。

  • id

  • git_provider

  • git_username

gitCredentials

createGitCredential

ユーザーが git 資格情報を作成します。

  • git_provider

  • git_username

グローバルinitスクリプトイベント

次のglobalInitScriptsイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

globalInitScripts

create

ワークスペース管理者はグローバル初期化スクリプトを作成します。

  • name

  • position

  • script-SHA256

  • enabled

globalInitScripts

update

ワークスペース管理者がグローバル初期化スクリプトを更新します。

  • script_id

  • name

  • position

  • script-SHA256

  • enabled

globalInitScripts

delete

ワークスペース管理者がグローバル初期化スクリプトを削除します。

  • script_id

グループイベント

次のgroupsイベントがワークスペース レベルで記録されます。 これらのアクションは、従来の ACL グループに関連しています。 アカウントおよびワークスペース レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。

サービス

操作

説明

リクエストパラメーター

groups

addPrincipalToGroup

管理者はユーザーをグループに追加します。

  • user_name

  • parent_name

groups

createGroup

管理者がグループを作成します。

  • group_name

groups

getGroupMembers

管理者はグループのメンバーを表示します。

  • group_name

groups

getGroups

管理者はグループのリストを表示します

なし

groups

getInheritedGroups

管理者は継承されたグループを閲覧する

なし

groups

removeGroup

管理者がグループを削除します。

  • group_name

IAMロールイベント

次のiamRoleイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

iamRole

changeIamRoleAcl

ワークスペース管理者が IAM ロールの権限を変更します。

  • targetUserId

  • shardName

  • resourceId

  • aclPermissionSet

インジェストイベント

次のingestionイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

ingestion

proxyFileUpload

ユーザーが Databricks ワークスペースにファイルをアップロードします。

  • x-databricks-content-length-0

  • x-databricks-total-files

インスタンスプールイベント

次のinstancePoolsイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

instancePools

changeInstancePoolAcl

ユーザーがインスタンス プールの権限を変更します。

  • shardName

  • resourceId

  • targetUserId

  • aclPermissionSet

instancePools

create

ユーザーがインスタンス プールを作成します。

  • enable_elastic_disk

  • preloaded_spark_versions

  • idle_instance_autotermination_minutes

  • instance_pool_name

  • node_type_id

  • custom_tags

  • max_capacity

  • min_idle_instances

  • aws_attributes

instancePools

delete

ユーザーがインスタンス プールを削除します。

  • instance_pool_id

instancePools

edit

ユーザーがインスタンス プールを編集します。

  • instance_pool_name

  • idle_instance_autotermination_minutes

  • min_idle_instances

  • preloaded_spark_versions

  • max_capacity

  • enable_elastic_disk

  • node_type_id

  • instance_pool_id

  • aws_attributes

ジョブイベント

次のjobsイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

jobs

cancel

ジョブの実行がキャンセルされました。

  • run_id

jobs

cancelAllRuns

ユーザーがジョブのすべての実行をキャンセルします。

  • job_id

jobs

changeJobAcl

ユーザーがジョブの権限を更新します。

  • shardName

  • aclPermissionSet

  • resourceId

  • targetUserId

jobs

create

ユーザーがジョブを作成します。

  • spark_jar_task

  • email_notifications

  • notebook_task

  • spark_submit_task

  • timeout_seconds

  • libraries

  • name

  • spark_python_task

  • job_type

  • new_cluster

  • existing_cluster_id

  • max_retries

  • schedule

  • run_as

jobs

delete

ユーザーがジョブを削除します。

  • job_id

jobs

deleteRun

ユーザーがジョブ実行を削除します。

  • run_id

jobs

getRunOutput

ユーザーは API 呼び出しを行って実行出力を取得します。

  • run_id

  • is_from_webapp

jobs

repairRun

ユーザーがジョブ実行を修復します。

  • run_id

  • latest_repair_id

  • rerun_tasks

jobs

reset

ジョブがリセットされます。

  • job_id

  • new_settings

jobs

resetJobAcl

ユーザーがジョブの権限の変更を要求します。

  • grants

  • job_id

jobs

runCommand

詳細な監査ログが有効になっている場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に発行されます。 コマンドはノートブックのセルに対応します。

  • jobId

  • runId

  • notebookId

  • executionTime

  • status

  • commandId

  • commandText

jobs

runFailed

ジョブの実行が失敗しました。

  • jobClusterType

  • jobTriggerType

  • jobId

  • jobTaskType

  • runId

  • jobTerminalState

  • idInJob

  • orgId

  • runCreatorUserName

jobs

runNow

ユーザーがオンデマンド ジョブの実行をトリガーします。

  • notebook_params

  • job_id

  • jar_params

  • workflow_context

jobs

runStart

検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから発行されるリクエストは、ジョブ内のタスクのタイプによって異なります。 リストされているものに加えて、次のものも含めることができます。

  • dashboardId (SQL ダッシュボード タスクの場合)

  • filePath (SQL ファイル タスクの場合)

  • notebookPath (ノートブックタスク用)

  • mainClassName (Spark JAR タスクの場合)

  • pythonFile (Spark JAR タスクの場合)

  • projectDirectory (dbt タスクの場合)

  • commands (dbt タスクの場合)

  • packageName ( Python wheel タスクの場合)

  • entryPoint ( Python wheel タスクの場合)

  • pipelineId (パイプラインタスクの場合)

  • queryIds (SQL クエリ タスクの場合)

  • alertId ( SQLアラートタスクの場合)

  • taskDependencies

  • multitaskParentRunId

  • orgId

  • idInJob

  • jobId

  • jobTerminalState

  • taskKey

  • jobTriggerType

  • jobTaskType

  • runId

  • runCreatorUserName

jobs

runSucceeded

ジョブの実行は成功しました。

  • idInJob

  • jobId

  • jobTriggerType

  • orgId

  • runId

  • jobClusterType

  • jobTaskType

  • jobTerminalState

  • runCreatorUserName

jobs

runTriggered

ジョブ スケジュールは、スケジュールまたはトリガーに従って自動的にトリガーされます。

  • jobId

  • jobTriggeredType

  • runId

jobs

sendRunWebhook

ジョブが開始、完了、または失敗したときに、Webhook が送信されます。

  • orgId

  • jobId

  • jobWebhookId

  • jobWebhookEvent

  • runId

jobs

setTaskValue

ユーザーがタスクの値を設定します。

  • run_id

  • key

jobs

submitRun

ユーザーは API 経由で 1 回限りの実行を送信します。

  • shell_command_task

  • run_name

  • spark_python_task

  • existing_cluster_id

  • notebook_task

  • timeout_seconds

  • libraries

  • new_cluster

  • spark_jar_task

jobs

update

ユーザーがジョブの設定を編集します。

  • job_id

  • fields_to_remove

  • new_settings

  • is_from_dlt

Marketplaceコンシューマーイベント

次のmarketplaceConsumerイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

marketplaceConsumer

getDataProduct

ユーザーは Databricks Marketplace を通じてデータ製品にアクセスします。

  • listing_id

  • listing_name

  • share_name

  • catalog_name

  • request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列

marketplaceConsumer

requestDataProduct

ユーザーは、プロバイダーの承認を必要とするデータ製品へのアクセスを要求します。

  • listing_id

  • listing_name

  • catalog_name

  • request_context: データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列

Marketplaceプロバイダーイベント

次のmarketplaceProviderイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

marketplaceProvider

createListing

メタストア管理者は、プロバイダー プロファイルにリストを作成します。

  • listing: リスティングの詳細の配列

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

updateListing

メタストア管理者は、プロバイダー プロファイルのリストを更新します。

  • id

  • listing: リスティングの詳細の配列

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

deleteListing

メタストア管理者は、プロバイダー プロファイルの一覧を削除します。

  • id

  • request_context: プロバイダーのアカウントとメタストアに関する詳細の配列

marketplaceProvider

updateConsumerRequestStatus

メタストア管理者はデータ製品リクエストを承認または拒否します。

  • listing_id

  • request_id

  • status

  • reason

  • share: シェアに関する情報の配列

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

createProviderProfile

メタストア管理者は、プロバイダー プロファイルを作成します。

  • provider: プロバイダーに関する情報の配列

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

updateProviderProfile

メタストア管理者は、プロバイダー プロファイルを更新します。

  • id

  • provider: プロバイダーに関する情報の配列

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

deleteProviderProfile

メタストア管理者は、プロバイダー プロファイルを削除します。

  • id

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

marketplaceProvider

uploadFile

プロバイダーは、プロバイダープロファイルにファイルをアップロードします。

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

  • marketplace_file_type

  • display_name

  • mime_type

  • file_parent: ファイルの親の詳細の配列

marketplaceProvider

deleteFile

プロバイダーは、プロバイダー プロファイルからファイルを削除します。

  • file_id

  • request_context: プロバイダーのアカウントとメタストアに関する情報の配列

ACLを伴うMLflowアーティファクトイベント

次のmlflowAcledArtifactイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

mlflowAcledArtifact

readArtifact

ユーザーがアーティファクトを読み取るために呼び出しを行います。

  • artifactLocation

  • experimentId

  • runId

mlflowAcledArtifact

writeArtifact

ユーザーがアーティファクトに書き込むための呼び出しを行います。

  • artifactLocation

  • experimentId

  • runId

MLflowエクスペリメントイベント

次のmlflowExperimentイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

mlflowExperiment

createMlflowExperiment

ユーザーがMLflow拡張機能を作成します。

  • experimentId

  • path

  • experimentName

mlflowExperiment

deleteMlflowExperiment

ユーザーがMLflow拡張機能を削除します。

  • experimentId

  • path

  • experimentName

mlflowExperiment

moveMlflowExperiment

ユーザーがMLflow拡張機能を移動します。

  • newPath

  • experimentId

  • oldPath

mlflowExperiment

restoreMlflowExperiment

ユーザーがMLflow拡張機能を復元します。

  • experimentId

  • path

  • experimentName

mlflowExperiment

renameMlflowExperiment

ユーザーがMLflow拡張機能の名前を変更します。

  • oldName

  • newName

  • experimentId

  • parentPath

MLflowモデルレジストリイベント

次のmlflowModelRegistryイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

modelRegistry

approveTransitionRequest

ユーザーがモデル バージョン ステージの移行要求を承認します。

  • name

  • version

  • stage

  • archive_existing_versions

modelRegistry

changeRegisteredModelAcl

ユーザーが登録済みモデルの権限を更新します。

  • registeredModelId

  • userId

modelRegistry

createComment

ユーザーがモデル バージョンにコメントを投稿します。

  • name

  • version

modelRegistry

createModelVersion

ユーザーがモデル バージョンを作成します。

  • name

  • source

  • run_id

  • tags

  • run_link

modelRegistry

createRegisteredModel

ユーザーが新しい登録済みモデルを作成する

  • name

  • tags

modelRegistry

createRegistryWebhook

ユーザーはModel Registryイベントの Webhook を作成します。

  • orgId

  • registeredModelId

  • events

  • description

  • status

  • creatorId

  • httpUrlSpec

modelRegistry

createTransitionRequest

ユーザーがモデル バージョン ステージの移行リクエストを作成します。

  • name

  • version

  • stage

modelRegistry

deleteComment

ユーザーがモデル バージョンのコメントを削除します。

  • id

modelRegistry

deleteModelVersion

ユーザーがモデル バージョンを削除します。

  • name

  • version

modelRegistry

deleteModelVersionTag

ユーザーがモデル バージョン タグを削除します。

  • name

  • version

  • key

modelRegistry

deleteRegisteredModel

ユーザーが登録済みのモデルを削除した場合

  • name

modelRegistry

deleteRegisteredModelTag

ユーザーが登録済みのモデルのタグを削除します。

  • name

  • key

modelRegistry

deleteRegistryWebhook

ユーザーがModel Registry Webhook を削除します。

  • orgId

  • webhookId

modelRegistry

deleteTransitionRequest

ユーザーがモデル バージョン ステージの移行要求をキャンセルします。

  • name

  • version

  • stage

  • creator

modelRegistry

finishCreateModelVersionAsync

モデルの非同期コピーが完了しました。

  • name

  • version

modelRegistry

generateBatchInferenceNotebook

バッチ推論ノートブックが自動生成されます。

  • userId

  • orgId

  • modelName

  • inputTableOpt

  • outputTablePathOpt

  • stageOrVersion

  • modelVersionEntityOpt

  • notebookPath

modelRegistry

generateDltInferenceNotebook

Delta Live Tables パイプラインの推論ノートブックが自動生成されます。

  • userId

  • orgId

  • modelName

  • inputTable

  • outputTable

  • stageOrVersion

  • notebookPath

modelRegistry

getModelVersionDownloadUri

ユーザーは、モデル バージョンをダウンロードするための URI を取得します。

  • name

  • version

modelRegistry

getModelVersionSignedDownloadUri

ユーザーは、署名されたモデル バージョンをダウンロードするための URI を取得します。

  • name

  • version

  • path

modelRegistry

listModelArtifacts

ユーザーは、モデルの成果物を一覧表示する呼び出しを行います。

  • name

  • version

  • path

  • page_token

modelRegistry

listRegistryWebhooks

ユーザーは、モデル内のすべてのレジストリ Webhook を一覧表示する呼び出しを行います。

  • orgId

  • registeredModelId

modelRegistry

rejectTransitionRequest

ユーザーがモデル バージョン ステージの移行要求を拒否します。

  • name

  • version

  • stage

modelRegistry

renameRegisteredModel

ユーザーが登録済みモデルの名前を変更する

  • name

  • new_name

modelRegistry

setEmailSubscriptionStatus

ユーザーが登録モデルのEメール購読ステータスを更新する

modelRegistry

setModelVersionTag

ユーザーがモデル バージョン タグを設定します。

  • name

  • version

  • key

  • value

modelRegistry

setRegisteredModelTag

ユーザーがモデル バージョン タグを設定します。

  • name

  • key

  • value

modelRegistry

setUserLevelEmailSubscriptionStatus

ユーザーは、レジストリ全体の電子メール通知ステータスを更新します。

  • orgId

  • userId

  • subscriptionStatus

modelRegistry

testRegistryWebhook

ユーザーがModel Registry Webhook をテストします。

  • orgId

  • webhookId

modelRegistry

transitionModelVersionStage

ユーザーは、モデル バージョンのすべてのオープン ステージの移行リクエストのリストを取得します。

  • name

  • version

  • stage

  • archive_existing_versions

modelRegistry

triggerRegistryWebhook

Model Registry Webhook はイベントによってトリガーされます。

  • orgId

  • registeredModelId

  • events

  • status

modelRegistry

updateComment

ユーザーがモデル バージョンのコメントに編集を投稿します。

  • id

modelRegistry

updateRegistryWebhook

ユーザーがModel Registry Webhook を更新します。

  • orgId

  • webhookId

モデルサービングイベント

次のserverlessRealTimeInferenceイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

serverlessRealTimeInference

changeInferenceEndpointAcl

ユーザーが推論エンドポイントのアクセス許可を更新します。

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

serverlessRealTimeInference

createServingEndpoint

ユーザーはモデルサービングエンドポイントを作成します。

  • name

  • config

serverlessRealTimeInference

deleteServingEndpoint

ユーザーがモデルサーバーエンドポイントを削除します。

  • name

serverlessRealTimeInference

disable

ユーザーは登録されたモデルのモデルサービングを無効にします。

  • registered_mode_name

serverlessRealTimeInference

enable

ユーザーは登録したモデルに対してモデルサービングを有効にします。

  • registered_mode_name

serverlessRealTimeInference

getQuerySchemaPreview

ユーザーは、クエリ スキーマのプレビューを取得するための呼び出しを行います。

  • endpoint_name

serverlessRealTimeInference

updateServingEndpoint

ユーザーがモデルサーバーエンドポイントを更新します。

  • name

  • served_models

  • traffic_config

serverlessRealTimeInference

updateInferenceEndpointRateLimits

ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。

  • name

  • rate_limits

ノートブックイベント

次のnotebookイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

notebook

attachNotebook

ノートブックはクラスターに接続されます。

  • path

  • clusterId

  • notebookId

notebook

cloneNotebook

ユーザーがノートブックを複製します。

  • notebookId

  • path

  • clonedNotebookId

  • destinationPath

notebook

createNotebook

ノートブックが作成されます。

  • notebookId

  • path

notebook

deleteFolder

ノートブックフォルダが削除されます。

  • path

notebook

deleteNotebook

ノートブックが削除されます。

  • notebookId

  • notebookName

  • path

notebook

detachNotebook

ノートブックがクラスターから切り離されます。

  • notebookId

  • clusterId

  • path

notebook

downloadLargeResults

ユーザーがダウンロードしたクエリ結果は大きすぎてノートブックに表示できません。

  • notebookId

  • notebookFullPath

notebook

downloadPreviewResults

ユーザーがクエリ結果をダウンロードします。

  • notebookId

  • notebookFullPath

notebook

importNotebook

ユーザーがノートブックをインポートします。

  • path

notebook

moveFolder

ノートブック フォルダーが、ある場所から別の場所に移動されます。

  • oldPath

  • newPath

  • folderId

notebook

moveNotebook

ノートブックは、ある場所から別の場所に移動されます。

  • newPath

  • oldPath

  • notebookId

notebook

renameNotebook

ノートブックの名前が変更されます。

  • newName

  • oldName

  • parentPath

  • notebookId

notebook

restoreFolder

削除したフォルダが復元されます。

  • path

notebook

restoreNotebook

削除されたノートブックが復元されます。

  • path

  • notebookId

  • notebookName

notebook

runCommand

詳細な監査ログが有効になっている場合に使用できます。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドはノートブックのセルに対応します。

executionTime は秒単位で測定されます。

  • notebookId

  • executionTime

  • status

  • commandId

  • commandText

  • commandLanguage

notebook

takeNotebookSnapshot

ノートブックのスナップショットは、ジョブ サービスまたは mlflow のいずれかが実行されたときに作成されます。

  • path

Partner Connectイベント

次のpartnerHubイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

partnerHub

createOrReusePartnerConnection

ワークスペース管理者はパートナー ソリューションへの接続を設定します。

  • partner_name

partnerHub

deletePartnerConnection

ワークスペース管理者がパートナー接続を削除します。

  • partner_name

partnerHub

downloadPartnerConnectionFile

ワークスペース管理者がパートナー接続ファイルをダウンロードします。

  • partner_name

partnerHub

setupResourcesForPartnerConnection

ワークスペース管理者は、パートナー接続用のリソースを設定します。

  • partner_name

予測的最適化イベント

次のpredictiveOptimizationイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

predictiveOptimization

PutMetrics

予測的最適化によってテーブルとワークロード メトリックが更新されたときに記録され、サービスが最適化操作をよりインテリジェントにスケジュールできるようになります。

  • table_metrics_list

  • start_time

  • end_time

predictiveOptimization

UpdatePredictiveOptimization

アカウント管理者は、メタストアの予測的最適化を有効または無効にします。

  • metastore_id

  • enable

リモート履歴サービスイベント

次のremoteHistoryServiceイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

remoteHistoryService

addUserGitHubCredentials

ユーザーが Github 資格情報を追加する

なし

remoteHistoryService

deleteUserGitHubCredentials

ユーザーが Github 資格情報を削除する

なし

remoteHistoryService

updateUserGitHubCredentials

ユーザーが Github の資格情報を更新する

なし

Gitフォルダイベント

次のreposイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

repos

checkoutBranch

ユーザーがリポジトリ上のブランチをチェックアウトします。

  • id

  • branch

repos

commitAndPush

ユーザーがコミットしてリポジトリにプッシュします。

  • id

  • message

  • files

  • checkSensitiveToken

repos

createRepo

ユーザーがワークスペースに Repo ジトリを作成する

  • url

  • provider

  • path

repos

deleteRepo

ユーザーがリポジトリを削除します。

  • id

repos

discard

ユーザーがリポジトリへのコミットを破棄します。

  • id

  • file_paths

repos

getRepo

ユーザーは、単一のリポジトリに関する情報を取得するために呼び出しを行います。

  • id

repos

listRepos

ユーザーは、管理アクセス許可を持つすべてのリポジトリを取得するために呼び出しを行います。

  • path_prefix

  • next_page_token

repos

pull

ユーザーはリポジトリから最新のコミットをプルします。

  • id

repos

updateRepo

ユーザーは、リポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。

  • id

  • branch

  • tag

  • git_url

  • git_provider

シークレットイベント

次のsecretsイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

secrets

createScope

ユーザーがシークレットスコープを作成します。

  • scope

  • initial_manage_principal

  • scope_backend_type

secrets

deleteAcl

ユーザーはシークレットスコープの ACL を削除します。

  • scope

  • principal

secrets

deleteScope

ユーザーがシークレットスコープを削除します。

  • scope

secrets

deleteSecret

ユーザーがスコープからシークレットを削除します。

  • key

  • scope

secrets

getAcl

ユーザーはシークレットスコープの ACL を取得します。

  • scope

  • principal

secrets

getSecret

ユーザーがスコープからシークレットを取得します。

  • key

  • scope

secrets

listAcls

ユーザーは、シークレットスコープの ACL を一覧表示するために呼び出しを行います。

  • scope

secrets

listScopes

ユーザーがシークレットスコープを一覧表示するために呼び出しを行う

なし

secrets

listSecrets

ユーザーは、スコープ内のシークレットを一覧表示する呼び出しを行います。

  • scope

secrets

putAcl

ユーザーはシークレットスコープの ACL を変更します。

  • scope

  • principal

  • permission

secrets

putSecret

ユーザーがスコープ内でシークレットを追加または編集します。

  • string_value

  • key

  • scope

SQLテーブルアクセスイベント

注:

sqlPermissions サービスには、従来のHive metastoreテーブルアクセスコントロールに関連するイベントが含まれます。 Databricks 、 Hive metastoreによって管理されるテーブルをUnity Catalogメタストアにアップグレードすることをお勧めします。

次のsqlPermissionsイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

sqlPermissions

changeSecurableOwner

ワークスペース管理者またはオブジェクトの所有者がオブジェクトの所有権を譲渡します。

  • securable

  • principal

sqlPermissions

createSecurable

ユーザーがセキュリティ保護可能なオブジェクトを作成します。

  • securable

sqlPermissions

denyPermission

オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。

  • permission

sqlPermissions

grantPermission

オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。

  • permission

sqlPermissions

removeAllPermissions

ユーザーがセキュリティ保護可能なオブジェクトを削除します。

  • securable

sqlPermissions

renameSecurable

ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。

  • before

  • after

sqlPermissions

requestPermissions

ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求します。

  • requests

sqlPermissions

revokePermission

オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を取り消します。

  • permission

sqlPermissions

showPermissions

ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可を表示します。

  • securable

  • principal

SSHイベント

次のsshイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

ssh

login

Spark ドライバーへの SSH エージェント ログイン。

  • containerId

  • userName

  • port

  • publicKey

  • instanceId

ssh

logout

エージェントはSparkドライバーからSSHをログアウトします。

  • userName

  • containerId

  • instanceId

Vector searchイベント

次のvectorSearchイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

vectorSearch

createEndpoint

ユーザーがベクトル検索エンドポイントを作成します。

  • name

  • endpoint_type

vectorSearch

deleteEndpoint

ユーザーがベクトル検索エンドポイントを削除します。

  • name

vectorSearch

createVectorIndex

ユーザーがベクトル検索インデックスを作成します。

  • name

  • endpoint_name

  • primary_key

  • index_type

  • delta_sync_index_spec

  • direct_access_index_spec

vectorSearch

deleteVectorIndex

ユーザーがベクトル検索インデックスを削除します。

  • name

  • endpoint_name

  • delete_embedding_writeback_table

Webターミナルイベント

次のwebTerminalイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

webTerminal

startSession

ユーザーが Web ターミナル セッションを開始します。

  • socketGUID

  • clusterId

  • serverPort

  • ProxyTargetURI

webTerminal

closeSession

ユーザーが Web ターミナル セッションを閉じます。

  • socketGUID

  • clusterId

  • serverPort

  • ProxyTargetURI

ワークスペースイベント

次のworkspaceイベントがワークスペース レベルで記録されます。

サービス

アクション名

説明

リクエストパラメーター

workspace

changeWorkspaceAcl

ワークスペースへの権限が変更されます。

  • shardName

  • targetUserId

  • aclPermissionSet

  • resourceId

workspace

deleteSetting

ワークスペースから設定が削除されます。

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

workspace

fileCreate

ユーザーがワークスペースにファイルを作成します。

  • path

workspace

fileDelete

ユーザーがワークスペース内のファイルを削除します。

  • path

workspace

fileEditorOpenEvent

ユーザーがファイルエディタを開きます。

  • notebookId

  • path

workspace

getRoleAssignment

ユーザーはワークスペースのユーザー ロールを取得します。

  • account_id

  • workspace_id

workspace

mintOAuthAuthorizationCode

社内 OAuth 認証コードがワークスペース レベルで作成されたときに記録されます。

  • client_id

workspace

mintOAuthToken

ワークスペース用の OAuth トークンが作成されます。

  • grant_type

  • scope

  • expires_in

  • client_id

workspace

moveWorkspaceNode

ワークスペース管理者がワークスペース ノードを移動します。

  • destinationPath

  • path

workspace

purgeWorkspaceNodes

ワークスペース管理者はワークスペース ノードを消去します。

  • treestoreId

workspace

reattachHomeFolder

ワークスペースに再度追加されたユーザーに対して、既存のホームフォルダーが再度接続されます。

  • path

workspace

renameWorkspaceNode

ワークスペース管理者がワークスペース ノードの名前を変更します。

  • path

  • destinationPath

workspace

unmarkHomeFolder

ユーザーがワークスペースから削除されると、ホーム フォルダーの特殊属性は削除されます。

  • path

workspace

updateRoleAssignment

ワークスペース管理者はワークスペース ユーザーの役割を更新します。

  • account_id

  • workspace_id

  • principal_id

workspace

updatePermissionAssignment

ワークスペース管理者は、ワークスペースにプリンシパルを追加します。

  • principal_id

  • permissions

workspace

setSetting

ワークスペース管理者はワークスペース設定を構成します。

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

workspace

workspaceConfEdit

ワークスペース管理者は、詳細な監査ログを有効にするなど、設定を更新します。

  • workspaceConfKeys

  • workspaceConfValues

workspace

workspaceExport

ユーザーはワークスペースからノートブックをエクスポートします。

  • workspaceExportDirectDownload

  • workspaceExportFormat

  • notebookFullPath

workspace

workspaceInHouseOAuthClientAuthentication

OAuth クライアントはワークスペース サービスで認証されます。

  • user

課金利用イベント

次のaccountBillableUsageイベントがアカウント レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

accountBillableUsage

getAggregatedUsage

ユーザーは、使用状況グラフ機能を使用して、アカウントの集計された課金利用 (1 日あたりの使用量) にアクセスしました。

  • account_id

  • window_size

  • start_time

  • end_time

  • meter_name

  • workspace_ids_filter

accountBillableUsage

getDetailedUsage

ユーザーは、使用状況ダウンロード機能を使用して、アカウントの詳細な課金利用 (各クラスターの使用状況) にアクセスしました。

  • account_id

  • start_month

  • end_month

  • with_pii

アカウントレベルのアカウントイベント

次のaccountsイベントがアカウント レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

accounts

accountInHouseOAuthClientAuthentication

OAuth クライアントが認証されます。

  • endpoint

accounts

accountIpAclsValidationFailed

IP アクセス許可の検証に失敗します。 statusCode 403 を返します。

  • sourceIpAddress

  • user: Eメールアドレスとしてログイン

accounts

activateUser

ユーザーは、非アクティブ化された後、再アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。

  • targetUserName

  • endpoint

  • targetUserId

accounts

add

ユーザーが Databricks アカウントに追加されます。

  • targetUserName

  • endpoint

  • targetUserId

accounts

addPrincipalToGroup

ユーザーがアカウント レベルのグループに追加されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

addPrincipalsToGroup

ユーザーは、SCIM プロビジョニングを使用してアカウント レベルのグループに追加されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

createGroup

アカウントレベルのグループが作成されます。

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

deactivateUser

ユーザーが非アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。

  • targetUserName

  • endpoint

  • targetUserId

accounts

delete

ユーザーが Databricks アカウントから削除されます。

  • targetUserId

  • targetUserName

  • endpoint

accounts

deleteSetting

アカウント管理者がDatabricksから設定を削除します。

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

accounts

garbageCollectDbToken

ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。

  • tokenExpirationTime

  • tokenClientId

  • userId

  • tokenCreationTime

  • tokenFirstAccessed

accounts

generateDbToken

ユーザーは、ユーザー設定からトークンを生成するか、サービスがトークンを生成するときにトークンを生成します。

  • tokenExpirationTime

  • tokenCreatedBy

  • tokenHash

  • userId

accounts

login

ユーザーがアカウント コンソールにログインします。

  • user

accounts

logout

ユーザーがアカウント コンソールからログアウトします。

  • user

accounts

mintOAuthAuthorizationCode

社内 OAuth 認証コードがアカウント レベルで生成されたときに記録されます。

  • client_id

accounts

mintOAuthToken

サービスプリンシパルにアカウントレベルのOAuthトークンが発行されます。

  • user

accounts

oidcBrowserLogin

ユーザーは、OpenID Connect ブラウザ ワークフローを使用して自分のアカウントにログインします。

  • user

accounts

oidcTokenAuthorization

アカウント管理者のログインには OIDC トークンが認証されます。

  • user

accounts

passwordVerifyAuthentication

ユーザーのパスワードは、アカウント コンソールのログイン時に検証されます。

  • user

accounts

removeAccountAdmin

アカウント管理者は、別のユーザーからアカウント管理者権限を削除します。

  • targetUserName

  • endpoint

  • targetUserId

accounts

removeGroup

グループがアカウントから削除されます。

  • targetGroupId

  • targetGroupName

  • endpoint

accounts

removePrincipalFromGroup

ユーザーがアカウント レベルのグループから削除されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

removePrincipalsFromGroup

SCIM プロビジョニングを使用して、ユーザーはアカウント レベルのグループから削除されます。

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

setAccountAdmin

アカウント管理者は、アカウント管理者の役割を別のユーザーに割り当てます。

  • targetUserName

  • endpoint

  • targetUserId

accounts

setSetting

アカウント管理者がアカウント レベルの設定を更新します。

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

accounts

tokenLogin

ユーザーはトークンを使用して Databricks にログインします。

  • tokenId

  • user

accounts

updateUser

アカウント管理者がユーザー アカウントを更新します。

  • targetUserName

  • endpoint

  • targetUserId

accounts

updateGroup

アカウント管理者がアカウント レベルのグループを更新します。

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

validateEmail

ユーザーがアカウント作成後に電子メールを検証するとき。

  • endpoint

  • targetUserName

  • targetUserId

アカウントレベルのアクセス制御イベント

次のaccountsAccessControlイベントがアカウント レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

accountsAccessControl

updateRuleSet

ルール セットが変更されたとき。

  • account_id

  • name

  • rule_set

アカウント管理イベント

次のaccountsManagerイベントがアカウント レベルで記録されます。 これらのイベントは、アカウント コンソールでアカウント管理者が行った構成に関係しています。

サービス

操作

説明

リクエストパラメーター

accountsManager

acceptTos

管理者はワークスペースのサービス利用規約に同意します。

  • workspace_id

accountsManager

accountUserResetPassword

アカウント管理者がユーザーのパスワードをリセットします。 リセット後にユーザーがパスワードを変更したかどうかも記録します。

  • wasPasswordChanged

  • serviceSource

  • targetUserId

  • userId

  • newPasswordSource

accountsManager

changeAccountOwner

アカウント所有者の役割が別のアカウント管理者に譲渡されます。

  • account_id

  • first_name

  • last_name

  • email

accountsManager

consolidateAccounts

アカウントは Databricks によって別のアカウントと統合されました。

  • target_account_id

  • account_ids_to_consolidate

accountsManager

createCredentialsConfiguration

アカウント管理者が資格情報構成を作成しました。

  • credentials

accountsManager

createCustomerManagedKeyConfiguration

アカウント管理者が顧客管理キー構成を作成しました。

  • customer_managed_key

accountsManager

createNetworkConfiguration

アカウント管理者がネットワーク構成を作成しました。

  • network

accountsManager

createPrivateAccessSettings

アカウント管理者がプライベート アクセス設定構成を作成しました。

  • private_access_settings

accountsManager

createStorageConfiguration

アカウント管理者がストレージ構成を作成しました。

  • storage_configuration

accountsManager

createVpcEndpoint

アカウント管理者が VPC エンドポイント構成を作成しました。

  • vpc_endpoint

accountsManager

createWorkspaceConfiguration

アカウント管理者が新しいワークスペースを作成します。 workspaceリクエストは、 workspace_nameを含むデプロイメント情報の配列です。 workspace_idresponse.resultにあります。

  • workspace

accountsManager

deleteCredentialsConfiguration

アカウント管理者が資格情報の構成を削除しました。

  • account_id

  • credentials_id

accountsManager

deleteCustomerManagedKeyConfiguration

アカウント管理者が顧客管理キー構成を削除しました。

  • account_id

  • customer_managed_key_id

accountsManager

deleteNetworkConfiguration

アカウント管理者がネットワーク構成を削除しました。

  • account_id

  • network_id

accountsManager

deletePrivateAccessSettings

アカウント管理者がプライベート アクセス設定の構成を削除しました。

  • account_id

  • private_access_settings_id

accountsManager

deleteStorageConfiguration

アカウント管理者がストレージ構成を削除しました。

  • account_id

  • storage_configuration_id

accountsManager

deleteVpcEndpoint

アカウント管理者が VPC エンドポイント構成を削除しました。

  • account_id

  • vpc_endpoint_id

accountsManager

deleteWorkspaceConfiguration

アカウント管理者がワークスペースを削除しました。

  • account_id

  • workspace_id

accountsManager

getCredentialsConfiguration

アカウント管理者は資格情報の構成に関する詳細を要求します。

  • account_id

  • credentials_id

accountsManager

getCustomerManagedKeyConfiguration

アカウント管理者は、顧客管理キー構成の詳細を要求します。

  • account_id

  • customer_managed_key_id

accountsManager

getNetworkConfiguration

アカウント管理者はネットワーク構成の詳細を要求します。

  • account_id

  • network_id

accountsManager

getPrivateAccessSettings

アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。

  • account_id

  • private_access_settings_id

accountsManager

getStorageConfiguration

アカウント管理者はストレージ構成の詳細を要求します。

  • account_id

  • storage_configuration_id

accountsManager

getVpcEndpoint

アカウント管理者は、VPC エンドポイント構成の詳細を要求します。

  • account_id

  • vpc_endpoint_id

accountsManager

getWorkspaceConfiguration

アカウント管理者がワークスペースの詳細を要求します。

  • account_id

  • workspace_id

accountsManager

listCredentialsConfigurations

アカウント管理者は、アカウント内のすべての資格情報構成を一覧表示します。

  • account_id

accountsManager

listCustomerManagedKeyConfigurations

アカウント admin は、アカウント内の顧客が管理するすべてのキー構成を一覧表示します。

  • account_id

accountsManager

listNetworkConfigurations

アカウント admin は、アカウント内のすべてのネットワーク構成を一覧表示します。

  • account_id

accountsManager

listPrivateAccessSettings

アカウント管理者は、アカウント内のすべてのプライベート アクセス設定構成を一覧表示します。

  • account_id

accountsManager

listStorageConfigurations

アカウント admin は、アカウント内のすべてのストレージ構成を一覧表示します。

  • account_id

accountsManager

listSubscriptions

アカウント管理者は、すべてのアカウント課金サブスクリプションを一覧表示します。

  • account_id

accountsManager

listVpcEndpoints

アカウント管理者は、アカウントのすべてのVPCエンドポイント構成を一覧表示しました。

  • account_id

accountsManager

listWorkspaceConfigurations

アカウント admin は、アカウント内のすべてのワークスペースを一覧表示します。

  • account_id

accountsManager

listWorkspaceEncryptionKeyRecords

アカウント管理者は、特定のワークスペース内のすべての暗号化キー レコードを一覧表示します。

  • account_id

  • workspace_id

accountsManager

listWorkspaceEncryptionKeyRecordsForAccount

アカウント admin は、アカウント内のすべての暗号化キー レコードを一覧表示します。

  • account_id

accountsManager

sendTos

Databricks利用規約に同意するための電子メールがワークスペース管理者に送信されました。

  • account_id

  • workspace_id

accountsManager

updateAccount

アカウントの詳細が内部的に変更されました。

  • account_id

  • account

accountsManager

updateSubscription

アカウントの課金サブスクリプションが更新されました。

  • account_id

  • subscription_id

  • subscription

accountsManager

updateWorkspaceConfiguration

管理者がワークスペースの構成を更新しました。

  • account_id

  • workspace_id

Budget ポリシー イベント

次の budgetPolicyCentral イベントはアカウント レベルで記録され、予算ポリシーに関連しています。 予算ポリシーによるサーバレス使用料の按分を参照してください。

サービス

操作

説明

リクエストパラメーター

budgetPolicyCentral

createBudgetPolicy

ワークスペース管理者または請求管理者が予算ポリシーを作成します。 新しい policy_idresponse 列に記録されます。

  • policy_name

budgetPolicyCentral

updateBudgetPolicy

ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを更新します。

  • policy.policy_id

  • policy.policy_name

budgetPolicyCentral

updateBudgetPolicy

ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを削除します。

  • policy_id

配信イベントのログ

次のlogDeliveryイベントがアカウント レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

logDelivery

createLogDeliveryConfiguration

管理者がログ配信構成を作成しました。

  • account_id

  • config_id

logDelivery

getLogDeliveryConfiguration

管理者がログ配信構成の詳細を要求しました。

  • log_delivery_configuration

logDelivery

listLogDeliveryConfigurations

管理者はアカウント内のすべてのログ配信構成をリストしました。

  • account_id

  • storage_configuration_id

  • credentials_id

  • status

logDelivery

updateLogDeliveryConfiguration

管理者がログ配信構成を更新しました。

  • config_id

  • account_id

  • status

Oauth SSOイベント

次のoauth2イベントはアカウント レベルで記録され、アカウント コンソールへの OAuth SSO 認証に関連しています。

サービス

操作

説明

リクエストパラメーター

oauth2

createCustomAppIntegration

ワークスペース管理者がカスタム アプリ統合を作成します。

  • redirect_url

  • name

  • token_access_policy

  • confidential

oauth2

createPublishedAppIntegration

ワークスペース管理者は、公開されたアプリ統合を使用してアプリ統合を作成します。

  • app_id

oauth2

deleteCustomAppIntegration

ワークスペース管理者がカスタム アプリの統合を削除します。

  • integration_id

oauth2

deletePublishedAppIntegration

ワークスペース管理者が公開済みのアプリ統合を削除します。

  • integration_id

oauth2

enrollOAuth

ワークスペース管理者が OAuth にアカウントを登録します。

  • enable_all_published_apps

oauth2

updateCustomAppIntegration

ワークスペース管理者がカスタム アプリの統合を更新します。

  • redirect_url

  • name

  • token_access_policy

  • confidential

oauth2

updatePublishedAppIntegration

ワークスペース管理者は公開されたアプリの統合を更新します。

  • token_access_policy

サービスプリンシパル資格情報イベント (パブリック プレビュー)

次のservicePrincipalCredentialsイベントがアカウント レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

servicePrincipalCredentials

create

アカウント管理者は、サービスプリンシパルのOAuthシークレットを生成します。

  • account_id

  • service_principal

  • secret_id

servicePrincipalCredentials

list

アカウント管理者は、サービスプリンシパルの下にすべてのOAuthシークレットを一覧表示します。

  • account_id

  • service_principal

servicePrincipalCredentials

delete

アカウント管理者がサービスプリンシパルのOAuthシークレットを削除します。

  • account_id

  • service_principal

  • secret_id

シングルサインオンイベント

次のssoConfigBackendイベントはアカウント レベルで記録され、アカウント コンソールの SSO 認証に関連しています。

サービス

操作

説明

リクエストパラメーター

ssoConfigBackend

create

アカウント管理者がアカウント コンソールのSSO構成を作成しました。

  • account_id

  • sso_type

  • config

ssoConfigBackend

get

アカウント管理者がアカウント コンソールのSSO構成の詳細を要求しました。

  • account_id

  • sso_type

ssoConfigBackend

update

アカウント管理者がアカウント コンソールのSSO構成を更新しました。

  • account_id

  • sso_type

  • config

Unity Catalogイベント

次の監査イベントは Unity Catalog に関連しています。 Delta Sharingイベントも unityCatalog サービス に記録されます。 Delta Sharingイベントについては、 Delta Sharingイベント」を参照してください。 Unity Catalog 監査イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログに記録できます。

サービス

操作

説明

リクエストパラメーター

unityCatalog

createMetastore

アカウント管理者がメタストアを作成します。

  • name

  • storage_root

  • workspace_id

  • metastore_id

unityCatalog

getMetastore

アカウント管理者がメタストア ID を要求します。

  • id

  • workspace_id

  • metastore_id

unityCatalog

getMetastoreSummary

アカウント管理者がメタストアの詳細を要求します。

  • workspace_id

  • metastore_id

unityCatalog

listMetastores

アカウント管理者は、アカウント内のすべてのメタストアのリストを要求します。

  • workspace_id

unityCatalog

updateMetastore

アカウント管理者がメタストアを更新します。

  • id

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteMetastore

アカウント管理者がメタストアを削除します。

  • id

  • force

  • workspace_id

  • metastore_id

unityCatalog

updateMetastoreAssignment

アカウント管理者がメタストアのワークスペース割り当てを更新します。

  • workspace_id

  • metastore_id

  • default_catalog_name

unityCatalog

createExternalLocation

アカウント管理者が外部ロケーションを作成します。

  • name

  • skip_validation

  • url

  • credential_name

  • workspace_id

  • metastore_id

unityCatalog

getExternalLocation

アカウント管理者が外部ロケーションの詳細を要求します。

  • name_arg

  • include_browse

  • workspace_id

  • metastore_id

unityCatalog

listExternalLocations

アカウント管理者は、アカウント内のすべての外部ロケーションのリストを要求します。

  • url

  • max_results

  • workspace_id

  • metastore_id

unityCatalog

updateExternalLocation

アカウント管理者が外部ロケーションを更新します。

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteExternalLocation

アカウント管理者が外部ロケーションを削除します。

  • name_arg

  • force

  • workspace_id

  • metastore_id

unityCatalog

createCatalog

ユーザーがカタログを作成します。

  • name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteCatalog

ユーザーがカタログを削除します。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

getCatalog

ユーザーがカタログの詳細を要求します。

  • name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

updateCatalog

ユーザーがカタログを更新します。

  • name_arg

  • isolation_mode

  • comment

  • workspace_id

  • metastore_id

unityCatalog

listCatalog

ユーザーは、メタストア内のすべてのカタログを一覧表示する呼び出しを行います。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

createSchema

ユーザーがスキーマを作成します。

  • name

  • catalog_name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteSchema

ユーザーがスキーマを削除します。

  • full_name_arg

  • force

  • workspace_id

  • metastore_id

unityCatalog

getSchema

ユーザーがスキーマの詳細を要求します。

  • full_name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

listSchema

ユーザーがカタログ内のすべてのスキーマのリストを要求します。

  • catalog_name

unityCatalog

updateSchema

ユーザーがスキーマを更新します。

  • full_name_arg

  • name

  • workspace_id

  • metastore_id

  • comment

unityCatalog

createStagingTable

  • name

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

unityCatalog

createTable

ユーザーがテーブルを作成します。 リクエストの呼び出しは、作成されるテーブルのタイプによって異なります。

  • name

  • data_source_format

  • catalog_name

  • schema_name

  • storage_location

  • columns

  • dry_run

  • table_type

  • view_dependencies

  • view_definition

  • sql_path

  • comment

unityCatalog

deleteTable

ユーザーがテーブルを削除します。

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

getTable

ユーザーがテーブルの詳細を要求します。

  • include_delta_metadata

  • full_name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

privilegedGetTable

  • full_name_arg

unityCatalog

listTables

ユーザーは、スキーマ内のすべてのテーブルを一覧表示する呼び出しを行います。

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

  • include_browse

unityCatalog

listTableSummaries

ユーザーは、メタストア内のスキーマとカタログのテーブルの概要の配列を取得します。

  • catalog_name

  • schema_name_pattern

  • workspace_id

  • metastore_id

unityCatalog

updateTables

ユーザーがテーブルを更新します。 表示されるリクエストは、行われたテーブル更新の種類によって異なります。

  • full_name_arg

  • table_type

  • table_constraint_list

  • data_source_format

  • columns

  • dependent

  • row_filter

  • storage_location

  • sql_path

  • view_definition

  • view_dependencies

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

createStorageCredential

アカウント管理者がストレージ資格情報を作成します。 クラウド プロバイダーの資格情報に基づいて、追加のリクエスト パラメーターが表示される場合があります。

  • name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

listStorageCredentials

アカウント管理者は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。

  • workspace_id

  • metastore_id

unityCatalog

getStorageCredential

アカウント管理者がストレージ資格情報の詳細を要求します。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateStorageCredential

アカウント管理者がストレージ資格情報を更新します。

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteStorageCredential

アカウント管理者がストレージ資格情報を削除します。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryTableCredential

テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何を照会したかを判断できます。

  • credential_id

  • credential_type

  • is_permissions_enforcing_client

  • table_full_name

  • operation

  • table_id

  • workspace_id

  • table_url

  • metastore_id

unityCatalog

generateTemporaryPathCredential

パスに一時的な資格情報が付与されるたびにログに記録されます。

  • url

  • operation

  • make_path_only_parent

  • workspace_id

  • metastore_id

unityCatalog

getPermissions

ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得するために呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

getEffectivePermissions

ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得するために呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

updatePermissions

ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。

  • securable_type

  • changes

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

metadataSnapshot

ユーザーは、以前のテーブル バージョンのメタデータをクエリします。

  • securables

  • include_delta_metadata

  • workspace_id

  • metastore_id

unityCatalog

metadataAndPermissionsSnapshot

ユーザーは、以前のテーブル バージョンのメタデータとアクセス許可を照会します。

  • securables

  • include_delta_metadata

  • workspace_id

  • metastore_id

unityCatalog

updateMetadataSnapshot

ユーザーは、以前のテーブル バージョンからメタデータを更新します。

  • table_list_snapshots

  • schema_list_snapshots

  • workspace_id

  • metastore_id

unityCatalog

getForeignCredentials

ユーザーが呼び出しを行って、外部キーの詳細を取得します。

  • securables

  • workspace_id

  • metastore_id

unityCatalog

getInformationSchema

ユーザーが呼び出しを行って、スキーマの詳細を取得します。

  • table_name

  • page_token

  • required_column_names

  • row_set_type

  • required_column_names

  • workspace_id

  • metastore_id

unityCatalog

createConstraint

ユーザーがテーブルの制約を作成します。

  • full_name_arg

  • constraint

  • workspace_id

  • metastore_id

unityCatalog

deleteConstraint

ユーザーがテーブルの制約を削除します。

  • full_name_arg

  • constraint

  • workspace_id

  • metastore_id

unityCatalog

createPipeline

ユーザーがUnity Catalog Pipeline を作成します。

  • target_catalog_name

  • has_workspace_definition

  • id

  • workspace_id

  • metastore_id

unityCatalog

updatePipeline

ユーザーがUnity Catalog Pipeline を更新します。

  • id_arg

  • definition_json

  • id

  • workspace_id

  • metastore_id

unityCatalog

getPipeline

ユーザーがUnity Catalog Pipeline の詳細を要求します。

  • id

  • workspace_id

  • metastore_id

unityCatalog

deletePipeline

ユーザーがUnity Catalog Pipeline を削除します。

  • id

  • workspace_id

  • metastore_id

unityCatalog

deleteResourceFailure

リソースの削除に失敗しました

なし

unityCatalog

createVolume

ユーザーがUnity Catalogボリュームを作成します。

  • name

  • catalog_name

  • schema_name

  • volume_type

  • storage_location

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

getVolume

ユーザーはUnity Catalogボリュームの情報を取得するために呼び出しを行います。

  • volume_full_name

  • workspace_id

  • metastore_id

unityCatalog

updateVolume

ユーザーは、ALTER VOLUME または COMMENT ON 呼び出しを使用してUnity Catalogボリュームのメタデータを更新します。

  • volume_full_name

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteVolume

ユーザーがUnity Catalogボリュームを削除します。

  • volume_full_name

  • workspace_id

  • metastore_id

unityCatalog

listVolumes

ユーザーは、スキーマ内のすべてのUnity Catalogボリュームのリストを取得するために呼び出しを行います。

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryVolumeCredential

一時的な資格情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行したときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。

  • volume_id

  • volume_full_name

  • operation

  • volume_storage_location

  • credential_id

  • credential_type

  • workspace_id

  • metastore_id

unityCatalog

getTagSecurableAssignments

セキュリティ保護可能なタグの割り当てが取得されます

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

getTagSubentityAssignments

サブエンティティのタグ割り当てが取得されます

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • subentity_name

unityCatalog

UpdateTagSecurableAssignments

セキュリティ保護可能なタグの割り当てが更新されます

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • changes

unityCatalog

UpdateTagSubentityAssignments

サブエンティティのタグ割り当てが更新されます

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • subentity_name

  • changes

unityCatalog

createRegisteredModel

ユーザーはUnity Catalog登録されたモデルを作成します。

  • name

  • catalog_name

  • schema_name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

getRegisteredModel

ユーザーは、 Unity Catalogに登録されているモデルの情報を取得するために呼び出しを行います。

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateRegisteredModel

ユーザーはUnity Catalog登録されたモデルのメタデータを更新します。

  • full_name_arg

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteRegisteredModel

ユーザーがUnity Catalog登録されているモデルを削除します。

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

listRegisteredModels

ユーザーは、スキーマ内のUnity Catalogに登録されているモデルのリストを取得するか、カタログとスキーマ全体のモデルをリストするために呼び出しを行います。

  • catalog_name

  • schema_name

  • max_results

  • page_token

  • workspace_id

  • metastore_id

unityCatalog

createModelVersion

ユーザーはUnity Catalogでモデル バージョンを作成します。

  • catalog_name

  • schema_name

  • model_name

  • source

  • comment

  • workspace_id

  • metastore_id

unityCatalog

finalizeModelVersion

ユーザーは、モデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「ファイナライズ」するための呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

getModelVersion

ユーザーが呼び出して、モデル バージョンの詳細を取得します。

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

getModelVersionByAlias

ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。

  • full_name_arg

  • include_aliases

  • alias_arg

  • workspace_id

  • metastore_id

unityCatalog

updateModelVersion

ユーザーがモデル バージョンのメタデータを更新します。

  • full_name_arg

  • version_arg

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteModelVersion

ユーザーがモデル バージョンを削除します。

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

listModelVersions

ユーザーは、登録されたモデル内のUnity Catalogモデル バージョンのリストを取得するために呼び出しを行います。

  • catalog_name

  • schema_name

  • model_name

  • max_results

  • page_token

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryModelVersionCredential

一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンの確定後) を実行したときに生成されます。 このイベントを使用して、誰がいつモデル バージョンにアクセスしたかを判断できます。

  • full_name_arg

  • version_arg

  • operation

  • model_version_url

  • credential_id

  • credential_type

  • workspace_id

  • metastore_id

unityCatalog

setRegisteredModelAlias

ユーザーは、 Unity Catalogに登録されたモデルにエイリアスを設定します。

  • full_name_arg

  • alias_arg

  • version

unityCatalog

deleteRegisteredModelAlias

ユーザーがUnity Catalogに登録されたモデルのエイリアスを削除します。

  • full_name_arg

  • alias_arg

unityCatalog

getModelVersionByAlias

ユーザーはエイリアスによってUnity Catalogモデル バージョンを取得します。

  • full_name_arg

  • alias_arg

unityCatalog

createConnection

新しい外部接続が作成されます。

  • name

  • connection_type

  • workspace_id

  • metastore_id

unityCatalog

deleteConnection

外部接続が削除されます。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

getConnection

外部接続が取得されます。

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateConnection

外部接続が更新されます。

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

listConnections

メタストア内の外部接続が一覧表示されます。

  • workspace_id

  • metastore_id

unityCatalog

createFunction

ユーザーが新しい関数を作成します。

  • function_info

  • workspace_id

  • metastore_id

unityCatalog

updateFunction

ユーザーが関数を更新します。

  • full_name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

listFunctions

ユーザーは、特定の親カタログまたはスキーマ内のすべての関数のリストを要求します。

  • catalog_name

  • schema_name

  • include_browse

  • workspace_id

  • metastore_id

unityCatalog

getFunction

ユーザーが親カタログまたはスキーマから関数を要求します。

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

deleteFunction

ユーザーが親カタログまたはスキーマから関数を要求します。

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

createShareMarketplaceListingLink

  • links_infos

  • metastore_id

unityCatalog

deleteShareMarketplaceListingLink

  • links_infos

  • metastore_id

Delta Sharingイベント

Delta Sharingイベントは、データ プロバイダーのアカウントに記録されるイベントと、データ受信者のアカウントに記録されるイベントの 2 つのセクションに分かれています。

Delta Sharing プロバイダーイベント

次の監査ログ イベントがプロバイダーのアカウントに記録されます。 受信者によって実行されるアクションは、 deltaSharing プレフィックスで始まります。 これらの各ログには、共有データを管理するメタストアである request_params.metastore_idと、アクティビティを開始したユーザーの ID である userIdentity.emailも含まれています。

サービス

操作

説明

リクエストパラメーター

unityCatalog

deltaSharingListShares

データ受信者が共有のリストを要求します。

  • options: このリクエストで提供されるページネーションオプション。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingGetShare

データ受信者は、共有に関する詳細を要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListSchemas

データ受信者が共有スキーマのリストを要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • options: このリクエストで提供されるページネーションオプション。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListAllTables

データ受信者は、すべての共有テーブルのリストを要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListTables

データ受信者が共有テーブルのリストを要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • options: このリクエストで提供されるページネーションオプション。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingGetTableMetadata

データ受信者は、テーブルのメタデータに関する詳細を要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • schema:スキーマの名前。

  • name: テーブルの名前。

  • predicateHints: クエリに含まれる述語。

  • limitHints: 返される最大行数。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingGetTableVersion

データ受信者は、テーブルのバージョンに関する詳細を要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • schema:スキーマの名前。

  • name: テーブルの名前。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingQueryTable

データ受信者が共有テーブルをクエリしたときにログに記録されます。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • schema:スキーマの名前。

  • name: テーブルの名前。

  • predicateHints: クエリに含まれる述語。

  • limitHints: 返される最大行数。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingQueryTableChanges

データ受信者がテーブルのデータ変更をクエリしたときにログに記録されます。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • schema:スキーマの名前。

  • name: テーブルの名前。

  • cdf_options: チェンジデータフィードオプション。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingQueriedTable

データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.resultフィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照)

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingQueriedTableChanges

データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.resultフィールドには、受信者のクエリに関する詳細情報が含まれます ( 「データ共有の監査と監視」を参照)。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListNotebookFiles

データ受信者が共有ノートブック ファイルのリストを要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingQueryNotebookFile

データ受信者が共有ノートブック ファイルを照会します。

  • file_name: ノートブックファイルの名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListFunctions

データ受信者は、親スキーマ内の関数のリストを要求します。

  • share: 共有の名前。

  • schema: 関数の親スキーマの名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListAllFunctions

データ受信者は、すべての共有機能のリストを要求します。

  • share: 共有の名前。

  • schema: 関数の親スキーマの名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListFunctionVersions

データ受信者は、関数バージョンのリストを要求します。

  • share: 共有の名前。

  • schema: 関数の親スキーマの名前。

  • function: 関数の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListVolumes

データ受信者は、スキーマ内の共有ボリュームのリストを要求します。

  • share: 共有の名前。

  • schema: ボリュームの親スキーマ。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

deltaSharingListAllVolumes

データ受信者は、すべての共有ボリュームを要求します。

  • share: 共有の名前。

  • recipient_name: アクションを実行する受信者を示します。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

updateMetastore

プロバイダーがメタストアを更新します。

  • delta_sharing_scope: 値は INTERNAL または INTERNAL_AND_EXTERNALです。

  • delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合、受信者トークンの有効期間が更新されたことを示します。

unityCatalog

createRecipient

プロバイダーは、データ受信者を作成します。

  • name: 受信者の名前。

  • comment: 受信者のコメント。

  • ip_access_list.allowed_ip_addresses: 受信者の IP アドレスの許可リスト。

unityCatalog

deleteRecipient

プロバイダーは、データ受信者を削除します。

  • name: 受信者の名前。

unityCatalog

getRecipient

プロバイダーは、データ受信者に関する詳細を要求します。

  • name: 受信者の名前。

unityCatalog

listRecipients

プロバイダーは、すべてのデータ受信者のリストを要求します。

なし

unityCatalog

rotateRecipientToken

プロバイダーは受信者のトークンをローテーションします。

  • name: 受信者の名前。

  • comment: 回転コマンドに指定されたコメント。

unityCatalog

updateRecipient

プロバイダーは、データ受信者の属性を更新します。

  • name: 受信者の名前。

  • updates: 共有に追加または削除された受信者属性の JSON 表現。

unityCatalog

createShare

プロバイダーは、データ受信者の属性を更新します。

  • name: 共有の名前。

  • comment: 共有のコメント。

unityCatalog

deleteShare

プロバイダーは、データ受信者の属性を更新します。

  • name: 共有の名前。

unityCatalog

getShare

プロバイダーは、共有に関する詳細を要求します。

  • name: 共有の名前。

  • include_shared_objects: 共有のテーブル名が要求に含まれていたかどうか。

unityCatalog

updateShare

プロバイダーは、共有にデータ資産を追加または削除します。

  • name: 共有の名前。

  • updates: 共有に追加または削除されたデータ資産の JSON 表現。 各項目には、 action (追加または削除)、 name (テーブルの実際の名前)、 shared_as (実際の名前と異なる場合はアセットが共有された名前)、および partition_specification (パーティション指定が指定されている場合) が含まれます。

unityCatalog

listShares

プロバイダーは、共有のリストを要求します。

なし

unityCatalog

getSharePermissions

プロバイダーは、共有のアクセス許可の詳細を要求します。

  • name: 共有の名前。

unityCatalog

updateSharePermissions

プロバイダーは、共有のアクセス許可を更新します。

  • name: 共有の名前。

  • changes: 更新された権限の JSON 表現。 各変更には、 principal (権限が付与または取り消されたユーザーまたはグループ)、 add (付与された権限のリスト)、およびremove (取り消された権限のリスト) が含まれます。

unityCatalog

getRecipientSharePermissions

プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。

  • name: 共有の名前。

unityCatalog

getActivationUrlInfo

プロバイダーは、アクティベーションリンクのアクティビティに関する詳細を要求します。

  • recipient_name: アクティベーション URL を開いた受信者の名前。

  • is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true し、要求が拒否されなかった場合は false します。 sourceIPaddress は受信者の IP アドレスです。

unityCatalog

generateTemporaryVolumeCredential

受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。

  • share_name: 受信者が要求する共有の名前。

  • share_id: 共有の ID。

  • share_owner: 共有の所有者。

  • recipient_name: 資格情報を要求する受信者の名前。

  • recipient_id: 受信者の ID。

  • volume_full_name: ボリュームの完全な 3 レベル名。

  • volume_id: ボリュームの ID。

  • volume_storage_location: ボリューム ルートのクラウド パス。

  • operation: READ_VOLUME または WRITE_VOLUMEのいずれかです。 ボリューム共有では、 READ_VOLUME のみがサポートされます。

  • credential_id: 資格情報の ID。

  • credential_type: 資格情報のタイプ。 値は常に StorageCredentialです。

  • workspace_id: 要求が共有ボリュームに対するものである場合、値は常に 0 されます。

unityCatalog

generateTemporaryTableCredential

受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。

  • share_name: 受信者が要求する共有の名前。

  • share_id: 共有の ID。

  • share_owner: 共有の所有者。

  • recipient_name: 資格情報を要求する受信者の名前。

  • recipient_id: 受信者の ID。

  • table_full_name: テーブルの完全な 3 レベル名。

  • table_id: テーブルの ID。

  • table_url: テーブル ルートのクラウド パス。

  • operation: READ または READ_WRITEのいずれかです。

  • credential_id: 資格情報の ID。

  • credential_type: 資格情報のタイプ。 値は常に StorageCredentialです。

  • workspace_id: 要求が共有テーブルに対するものである場合、値は常に 0 されます。

Delta Sharing受信者イベント

次のイベントはデータ受信者のアカウントに記録されます。 これらのイベントは、共有データおよび AI アセットへの受信者のアクセスと、プロバイダーの管理に関連するイベントを記録します。 これらの各イベントには、次のリクエストも含まれます。

  • recipient_name: データプロバイダのシステム内の受信者の名前。

  • metastore_id: データ プロバイダーのシステム内のメタストアの名前。

  • sourceIPAddress: 要求が発信された IP アドレス。

サービス

操作

説明

リクエストパラメーター

unityCatalog

deltaSharingProxyGetTableVersion

データ受信者は、共有テーブルのバージョンの詳細を要求します。

  • share: 共有の名前。

  • schema:テーブルの親スキーマの名前。

  • name: テーブルの名前。

unityCatalog

deltaSharingProxyGetTableMetadata

データ受信者は、共有テーブルのメタデータの詳細を要求します。

  • share: 共有の名前。

  • schema:テーブルの親スキーマの名前。

  • name: テーブルの名前。

unityCatalog

deltaSharingProxyQueryTable

データ受信者が共有テーブルを照会します。

  • share: 共有の名前。

  • schema:テーブルの親スキーマの名前。

  • name: テーブルの名前。

  • limitHints: 返される最大行数。

  • predicateHints: クエリに含まれる述語。

  • version: チェンジデータフィードが有効な場合のテーブルバージョン。

unityCatalog

deltaSharingProxyQueryTableChanges

データ受信者は、テーブルの変更データを照会します。

  • share: 共有の名前。

  • schema:テーブルの親スキーマの名前。

  • name: テーブルの名前。

  • cdf_options: チェンジデータフィードオプション。

unityCatalog

createProvider

データ受信者は、プロバイダー オブジェクトを作成します。

  • name: プロバイダーの名前。

  • comment: プロバイダーのコメント。

unityCatalog

updateProvider

データ受信者がプロバイダー オブジェクトを更新します。

  • name: プロバイダーの名前。

  • updates: 共有に追加または削除されたプロバイダー属性の JSON 表現。 各項目には、 action (追加または削除) が含まれ、 name (新しいプロバイダー名)、 owner (新しい所有者)、および commentを含めることができます。

unityCatalog

deleteProvider

データ受信者がプロバイダー オブジェクトを削除します。

  • name: プロバイダーの名前。

unityCatalog

getProvider

データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。

  • name: プロバイダーの名前。

unityCatalog

listProviders

データ受信者がプロバイダーのリストを要求します。

なし

unityCatalog

activateProvider

データ受信者は、プロバイダー オブジェクトをアクティブ化します。

  • name: プロバイダーの名前。

unityCatalog

listProviderShares

データ受信者は、プロバイダーの共有の一覧を要求します。

  • name: プロバイダーの名前。

unityCatalog

generateTemporaryVolumeCredential

受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。

  • share_name: 受信者が要求する共有の名前。

  • volume_full_name: ボリュームの完全な 3 レベル名。

  • volume_id: ボリュームの ID。

  • operation: READ_VOLUME または WRITE_VOLUMEのいずれかです。 ボリューム共有では、 READ_VOLUME のみがサポートされます。

  • workspace_id: ユーザーリクエストを受信するワークスペースの ID。

unityCatalog

generateTemporaryTableCredential

受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。

  • share_name: 受信者が要求する共有の名前。

  • table_full_name: テーブルの完全な 3 レベル名。

  • table_id: テーブルの ID。

  • operation: READ または READ_WRITEのいずれかです。

  • workspace_id: ユーザーリクエストを受信するワークスペースの ID。

システムログイベント

注:

監査ログ内のresponse JSON オブジェクトには、元のシステム ログの内容を含むresultフィールドがあります。

次のsyslogイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

syslog

processEvent

システム・ログはイベントを処理します。

  • instanceId

  • processName

プロセス・モニター・ログ・イベント

次のmonitイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

monit

processNotRunning

モニターは実行されていません。

  • instanceId

  • processName

monit

processRestarting

モニターが再起動しています。

  • instanceId

  • processName

monit

processStarted

モニターが起動しました。

  • instanceId

  • processName

monit

processRunning

モニターは実行中です。

  • instanceId

  • processName

追加のセキュリティモニタリングイベント

クラスターやプロ、またはクラシック SQL Databricksウェアハウスの VM など、 クラシック プレーン の コンピュート リソースの場合、次の機能によって追加のモニタリング エージェントが有効になります。

サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 「どのコンピュート リソースがセキュリティを強化するか」および「コンプライアンス セキュリティ プロファイル コンプライアンス標準とサーバレス コンピュート availability」を参照してください。

ファイル整合性モニタリングイベント

次のcapsule8-alerts-dataplaneイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

capsule8-alerts-dataplane

Heartbeat

モニターがオンになっていることを確認する定期的なイベント。 現在10分ごとに実行しています。

  • instanceId

capsule8-alerts-dataplane

Memory Marked Executable

メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。

  • instanceId

capsule8-alerts-dataplane

File Integrity Monitor

重要なシステムファイルの整合性を監視します。 これらのファイルへの不正な変更を警告します。 Databricks はイメージ上の特定のシステム パス セットを定義しますが、このパス セットは時間の経過とともに変更される可能性があります。

  • instanceId

capsule8-alerts-dataplane

Systemd Unit File Modified

systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemdユニット ファイルがsystemctl以外のプログラムによって変更されるたびにアラートします。

  • instanceId

capsule8-alerts-dataplane

Repeated Program Crashes

プログラムのクラッシュが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、影響を受けるアプリケーションに安定性の問題があることを示している可能性があります。 セグメンテーション違反により、個々のプログラムのインスタンスが 5 つ以上クラッシュした場合にアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Userfaultfd Usage

コンテナは通常、静的なワークロードであるため、このアラートは、攻撃者がコンテナを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

New File Executed in Container

メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。

  • instanceId

capsule8-alerts-dataplane

Suspicious Interactive Shell

インタラクティブ シェルは、現代の本番運用インフラストラクチャではまれにしか発生しません。 リバース シェルで一般的に使用される引数を使用して対話型シェルが開始されたときにアラートします。

  • instanceId

capsule8-alerts-dataplane

User Command Logging Evasion

コマンド ログの回避は攻撃者にとって一般的な手法ですが、正当なユーザーが不正なアクションを実行したり、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザーのコマンド履歴ログへの変更が検出された場合、ユーザーがコマンドログを回避しようとしていることを示します。

  • instanceId

capsule8-alerts-dataplane

BPF Program Executed

ある種のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムのロードは、攻撃者が持続性を獲得し検出を回避するために BPF ベースのルートキットをロードしていることを示している可能性があります。 プロセスがすでに進行中のインシデントの一部である場合、プロセスが新しい特権 BPF プログラムをロードするとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

Kernel Module Loaded

攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして検出を回避し、侵害されたノードの永続性を維持します。 プログラムがすでに進行中のインシデントの一部である場合、カーネル モジュールがロードされるときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Suspicious Program Name Executed-Space After File

攻撃者は、正当なシステム プログラムまたはサービスになりすますために、悪意のあるバイナリを作成したり、名前の末尾にスペースが含まれるように名前を変更したりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行するとアラートが鳴ります。

  • instanceId

capsule8-alerts-dataplane

Illegal Elevation Of Privileges

カーネル権限昇格のエクスプロイトにより、通常、権限のないユーザーは、権限変更の標準ゲートを通過せずにroot権限を取得できます。 プログラムが通常とは異なる手段で権限を昇格しようとしたときに警告します。 これにより、大きなワークロードを持つノードで誤検知アラートが発行される可能性があります。

  • instanceId

capsule8-alerts-dataplane

Kernel Exploit

内部カーネル関数は通常のプログラムからはアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを強力に示しています。 カーネル関数が予期せずユーザー空間に戻ったときにアラートします。

  • instanceId

capsule8-alerts-dataplane

Processor-Level Protections Disabled

SMEP と SMAP は、カーネルのエクスプロイトが成功するのを困難にするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネルのエクスプロイトにおける一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんしたときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Container Escape via Kernel Exploitation

プログラムがコンテナ エスケープ エクスプロイトでよく使用されるカーネル関数を使用する場合にアラートを発します。これは、攻撃者が権限をコンテナ アクセスからノード アクセスに昇格していることを示します。

  • instanceId

capsule8-alerts-dataplane

Privileged Container Launched

特権コンテナはホスト リソースに直接アクセスできるため、侵害された場合の影響が大きくなります。 コンテナが kube-proxy などの既知の特権イメージではない場合、特権コンテナが起動されるとアラートを出します。 これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。

  • instanceId

capsule8-alerts-dataplane

Userland Container Escape

多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御します。 コンテナで作成されたファイルがコンテナ外から実行されたときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

AppArmor Disabled In Kernel

特定のAppArmor属性の変更はカーネル内でのみ発生し、AppArmorがカーネルエクスプロイトまたはルートキットによって無効化されたことを示します。 センサーの起動時に検出された AppArmor 構成から AppArmor 状態が変更された場合にアラートを発します。

  • instanceId

capsule8-alerts-dataplane

AppArmor Profile Modified

攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 SSH セッションでユーザーによって実行されなかった場合に、AppArmor プロファイルを変更するコマンドが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

Boot Files Modified

信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されていない場合、ブート ファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更していることを示している可能性があります。 /boot内のファイルに変更が加えられたときにアラートを発し、新しいカーネルまたはブート構成のインストールを示します。

  • instanceId

capsule8-alerts-dataplane

Log Files Deleted

ログ管理ツールによって実行されないログの削除は、攻撃者が侵害の痕跡を削除しようとしていることを示している可能性があります。 システム ログ ファイルの削除に関するアラート。

  • instanceId

capsule8-alerts-dataplane

New File Executed

システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルのエクスプロイト、またはエクスプロイト チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されるとアラートが発せられます。

  • instanceId

capsule8-alerts-dataplane

Root Certificate Store Modified

ルート証明書ストアの変更は、不正な証明機関のインストールを示しており、ネットワーク トラフィックの傍受やコード署名検証のバイパスを可能にする可能性があります。 システム CA 証明書ストアが変更されたときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Setuid/Setgid Bit Set On File

setuid/setgidビットを設定すると、ノードで特権をエスカレーションするための永続的な方法を提供できます。chmodファミリのシステム コールを持つファイルにsetuidまたはsetgidビットが設定されている場合、アラートを出します。

  • instanceId

capsule8-alerts-dataplane

Hidden File Created

攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連するプロセスによって隠しファイルが作成された場合にアラートします。

  • instanceId

capsule8-alerts-dataplane

Modification Of Common System Utilities

攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システム ユーティリティを変更する可能性があります。 共通システム ユーティリティが不正なプロセスによって変更された場合に警告します。

  • instanceId

capsule8-alerts-dataplane

Network Service Scanner Executed

攻撃者または悪意のあるユーザーは、これらのプログラムを使用またはインストールして、接続されているネットワークを調査して、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Network Service Created

攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワーク サービスを開始する可能性があります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが新しいネットワーク サービスを開始するとアラートします。

  • instanceId

capsule8-alerts-dataplane

Network Sniffing Program Executed

攻撃者または不正なユーザーがネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報を取得する可能性があります。 ネットワークキャプチャを許可するプログラムが実行されたときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Remote File Copy Detected

ファイル転送ツールの使用は、攻撃者がツールセットを追加のホストに移動したり、リモートシステムにデータを盗み出そうとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Unusual Outbound Connection Detected

コマンドと制御チャンネルと暗号通貨マイナーは、通常とは異なるポートで新しい送信ネットワーク接続を作成することがよくあります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが通常とは異なるポートで新しい接続を開始したときにアラートを発します。

  • instanceId

capsule8-alerts-dataplane

Data Archived Via Program

システムにアクセスした後、攻撃者はファイルの圧縮アーカイブを作成して、流出するデータのサイズを小さくする可能性があります。 データ圧縮プログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートが発せられます。

  • instanceId

capsule8-alerts-dataplane

Process Injection

プロセス インジェクション技術の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスから秘密を読み取ったり、他のプロセスにコードを挿入したりしていることを示す場合もあります。 プログラムがptrace (デバッグ) メカニズムを使用して別のプロセスと対話するときにアラートします。

  • instanceId

capsule8-alerts-dataplane

Account Enumeration Via Program

攻撃者は、アカウント列挙プログラムを使用して、アクセス レベルを判別したり、他のユーザーが現在ノードにログインしているかどうかを確認したりすることがよくあります。 アカウント列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

File and Directory Discovery Via Program

ファイルシステムの探索は、攻撃者が関心のある認証情報やデータを探すための一般的なエクスプロイト後の動作です。 ファイルとディレクトリの列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

Network Configuration Enumeration Via Program

攻撃者は、ローカル ネットワークとルート情報を照会して、横方向の移動に先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

Process Enumeration Via Program

攻撃者は、ノードの目的やセキュリティまたはモニタリング ツールが配置されているかどうかを識別するために、実行中のプログラムをリスト化することがよくあります。 プロセス列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

System Information Enumeration Via Program

攻撃者は通常、システム列挙コマンドを実行して Linux カーネルとディストリビューションのバージョンと機能を判断し、ノードが特定の脆弱性の影響を受けているかどうかを確認します。 システム情報列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

Scheduled Tasks Modified Via Program

スケジュールされたタスクを変更することは、侵害されたノード上で永続性を確立するための一般的な方法です。 crontabat 、またはbatchコマンドを使用してスケジュールされたタスク構成を変更するとアラートが生成されます。

  • instanceId

capsule8-alerts-dataplane

Systemctl Usage Detected

systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctlコマンドを使用して systemd ユニットを変更するとアラートが発生します。

  • instanceId

capsule8-alerts-dataplane

User Execution Of su Command

ルート・ユーザーへの明示的なエスカレーションにより、特権アクティビティーを特定のユーザーに関連付ける機能が低下します。 suコマンドが実行されるとアラートを発します。

  • instanceId

capsule8-alerts-dataplane

User Execution Of sudo Command

sudoコマンドが実行されるとアラートを発します。

  • instanceId

capsule8-alerts-dataplane

User Command History Cleared

履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。

  • instanceId

capsule8-alerts-dataplane

New System User Added

攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 システム更新プログラムによってエンティティが追加されていない場合、ローカル アカウント管理ファイル/etc/passwdに新しいユーザー エンティティが追加されるとアラートが発生します。

  • instanceId

capsule8-alerts-dataplane

Password Database Modification

攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 既存のユーザー情報の更新とは関係のないプログラムによって、ユーザーパスワードに関連するファイルが変更された場合にアラートを発します。

  • instanceId

capsule8-alerts-dataplane

SSH Authorized Keys Modification

新しいSSH公開鍵の追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 プログラムがすでに進行中のインシデントの一部である場合、ユーザーの SSH authorized_keysファイルへの書き込み試行が観察されるとアラートを出します。

  • instanceId

capsule8-alerts-dataplane

User Account Created Via CLI

新しいユーザーを追加することは、侵害されたノード上で永続性を確立する際に攻撃者がよく行う手段です。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたときにアラートが発生します。

  • instanceId

capsule8-alerts-dataplane

User Configuration Changes

履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。

  • instanceId

capsule8-alerts-dataplane

New System User Added

ユーザープロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するために、永続化の方法として変更されることがよくあります。 .bash_profilebashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更された場合に通知します。

  • instanceId

ウイルス対策モニタリングイベント

注:

これらの監査ログ内のresponse JSON オブジェクトには常に、元のスキャン結果の 1 行を含むresultフィールドが含まれます。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。

次のclamAVScanService-dataplaneイベントがワークスペース レベルで記録されます。

サービス

操作

説明

リクエストパラメーター

clamAVScanService-dataplane

clamAVScanAction

ウイルス対策モニタリングがスキャンを実行します。 ログは、元のスキャン出力の各行に対して生成されます。

  • instanceId

廃止されたログイベント

Databricks では、次の databrickssql 監査イベントが非推奨になりました。

  • createAlertDestination (現在は createNotificationDestination)

  • deleteAlertDestination (現在は deleteNotificationDestination)

  • updateAlertDestination (現在は updateNotificationDestination)

  • muteAlert

  • unmuteAlert

SQL ログ

非推奨の SQL アドレスAPI (SQL ウェアハウスの旧称) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名には Warehouse ではなく Endpoint という単語が含まれます。 名前を除けば、これらのイベントは SQL ウェアハウス イベントと同一です。 これらのイベントの説明と要求を表示するには、 Databricks SQLイベントの対応するイベントを参照してください。

SQL トランザクション イベントは次のとおりです。

  • changeEndpointAcls

  • createEndpoint

  • editEndpoint

  • startEndpoint

  • stopEndpoint

  • deleteEndpoint

  • setEndpointConfig