監査ログのリファレンス
注
この機能を使用するには、プレミアムプラン以上が必要です。
この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。
アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、 システム テーブル (パブリック プレビュー) を使用することです。
定期的なログ配信を構成する場合は、「 監査ログ配信の構成」を参照してください。
監査ログサービス
次のサービスとそのイベントは、デフォルトで監査ログに記録されます。
ワークスペースレベルのサービス
ワークスペースレベルの監査ログは、次のサービスで使用できます。
サービス名 |
説明 |
---|---|
アカウント、ユーザー、グループ、IPアクセスリストに関連するイベント。 |
|
クラスターポリシーに関連するイベント。 |
|
クラスターに関連するイベント。 |
|
Lakeview ダッシュボードの使用に関連するイベント。 |
|
Databricks SQLの使用に関連するイベント。 |
|
DBFS に関連するイベント。 |
|
Delta Live Tablesパイプラインに関連するイベント。 |
|
Databricks Feature Storeに関連するイベント。 |
|
ファイル API に関連するイベント。 |
|
サポート担当者によるワークスペースへのアクセスに関連するイベント。 |
|
Databricks Git フォルダーの Git 資格情報に関連するイベント。 |
|
グローバルinitスクリプトに関連するイベント。 |
|
アカウントとワークスペースグループに関連するイベント。 |
|
IAMロールの権限に関連するイベント。 |
|
ファイルのアップロードに関連するイベント。 |
|
プールに関連するイベント。 |
|
ジョブに関連するイベント。 |
|
Databricks Marketplaceにおける消費者行動に関連するイベント 。 |
|
Databricks Marketplaceのプロバイダー アクションに関連するイベント。 |
|
ACLを使用したMLフローアーティファクトに関連するイベント。 |
|
MLフローエクスペリメントに関連するイベント。 |
|
ワークスペース モデルレジストリに関連するイベント。 Unity Catalog のモデルのアクティビティ ログについては、「 Unity Catalog イベント」を参照してください。 |
|
ノートブックに関連するイベント。 |
|
Partner Connectに関連するイベント . |
|
GitHub資格情報の追加と削除に関連するイベント。 |
|
Databricks Git フォルダーに関連するイベント。 |
|
シークレットに関連するイベント。 |
|
モデルサービングに関連するイベント。 |
|
レガシー Hive metastore に関連するイベント テーブルアクセスコントロール. |
|
SSHアクセスに関連するイベント。 |
|
Web ターミナル機能に関連するイベント。 |
|
ワークスペースに関連するイベント。 |
アカウントレベルのサービス
アカウントレベルの監査ログは、次のサービスで使用できます。
サービス名 |
説明 |
---|---|
アカウントコンソールでの請求対象使用量アクセスに関連するアクション。 |
|
アカウントレベルのアクセスとID管理に関連するアクション。 |
|
アカウントレベルのアクセス制御ルールに関連するアクション。 |
|
アカウントコンソールで実行されるアクション。 |
|
請求対象使用量や監査ログなどのログ配信設定。 |
|
アカウントコンソールへのOAuth SSO認証に関連するアクション。 |
|
サービスプリンシパルの資格情報に関連するアクション。 |
|
アカウントのシングルサインオン設定。 |
|
Unity Catalogで実行されるアクション。 これにはDelta Sharingイベントも含まれます。 Delta Sharingイベント」を参照してください。 |
追加のセキュリティ監視サービス
コンプライアンス セキュリティ プロファイル(FedRAMP、PCI、HIPPA などの一部のコンプライアンス標準に必要) または強化されたセキュリティ モニタリングを使用するワークスペースには、追加のサービスと関連アクションがあります。
これらはワークスペース レベルのサービスであり、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されます。
サービス名 |
説明 |
---|---|
ファイルの整合性の監視に関連するアクション。 |
|
ウイルス対策モニタリングに関連するアクション。 |
|
プロセスモニターに関連するアクション。 |
|
システムログに関連するアクション。 |
監査ログのサンプルスキーマ
Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceName
プロパティとactionName
プロパティで識別されます。命名規則はDatabricks REST APIに従います。
次の例は、createMetastoreAssignment
イベントのものです。
{
"version":"2.0",
"auditLevel":"ACCOUNT_LEVEL",
"timestamp":1629775584891,
"orgId":"3049056262456431186970",
"shardName":"test-shard",
"accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
"sourceIPAddress":"10.2.91.100",
"userAgent":"curl/7.64.1",
"sessionId":"f836a03a-d360-4792-b081-baba525324312",
"userIdentity":{
"email":"crampton.rods@email.com",
"subjectName":null
},
"serviceName":"unityCatalog",
"actionName":"createMetastoreAssignment",
"requestId":"ServiceMain-da7fa5878f40002",
"requestParams":{
"workspace_id":"30490590956351435170",
"metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
"default_catalog_name":"main"
},
"response":{
"statusCode":200,
"errorMessage":null,
"result":null
},
"MAX_LOG_MESSAGE_LENGTH":16384
}
監査ログスキーマに関する考慮事項
アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアの
requestId
は同じものになります。オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、
System-User
ユーザーによって実行されます。requestParams
フィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncated
が追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATED
キーが設定されます。
アカウントイベント
ワークスペースレベルでログに記録されるaccounts
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、非アクティブ化された後、再アクティブ化されます。 「 ワークスペースでのユーザーの非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks ワークスペースに追加されます。 |
|
|
|
ユーザーがワークスペース レベルのグループに追加されます。 |
|
|
|
認証にX509証明書を使用してユーザーアカウントが追加された |
|
|
|
ユーザーは、X509 証明書を使用して Databricks にログインします。 |
|
|
|
ユーザーの Databricks SQL アクセス許可が変更されます。 |
|
|
|
ワークスペースへのアクセス許可が変更されます。 |
|
|
|
トークンのアクセス許可が変更されたとき。 |
|
|
|
ユーザーのパスワードが変更されました。 |
|
|
|
アカウントのパスワード変更権限が変更されます。 |
|
|
|
サービスプリンシパルの権限が変更されたとき。 |
|
|
|
ワークスペース レベルのグループが作成されます。 |
|
|
|
IP アクセス リストがワークスペースに追加されます。 |
|
|
|
ワークスペースでユーザーが非アクティブ化されます。 「 ワークスペースでのユーザーの非アクティブ化」を参照してください。 |
|
|
|
ユーザーが Databricks ワークスペースから削除されます。 |
|
|
|
IP アクセス リストがワークスペースから削除されます。 |
|
|
|
ユーザーは、期限切れのトークンに対してガベージ・コレクト・コマンドを実行します。 |
|
|
|
ユーザーがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。 |
|
|
|
ユーザーは、拒否された IP を介してサービスに接続しようとします。 |
|
|
|
|
|
|
|
ユーザーは JWT を使用して Databricks にログインします。 |
|
|
|
ユーザーがワークスペースにログインします。 |
|
|
|
ユーザーがワークスペースからログアウトします。 |
|
|
|
新しいセキュリティキーをユーザー登録します。 |
|
|
|
ユーザーがセキュリティ キーを削除しました。 |
|
|
|
ユーザーは MFA を使用して Databricks にログインします。 |
|
|
|
API 呼び出しが汎用 OIDC/OAuth トークンによって承認されている場合。 |
|
|
|
|
|
|
|
現在の期限切れでないトークンの数がトークンクォータを超えたとき |
|
|
|
ユーザーはワークスペース管理者のアクセス許可を取り消されます。 |
|
|
|
グループがワークスペースから削除されます。 |
|
|
|
ユーザーがグループから削除されます。 |
|
|
|
ユーザーのパスワードがリセットされます。 |
|
|
|
ユーザーのトークンがワークスペースから削除されます。 ユーザーが Databricks アカウントから削除されるとトリガーできます。 |
|
|
|
ユーザーは、SAML SSO を使用して Databricks にログインします。 |
|
|
|
ユーザーには、アカウント管理者権限が付与されます。 |
|
|
|
ユーザーは、トークンを使用して Databricks にログインします。 |
|
|
|
IP アクセス リストが変更されます。 |
|
|
|
アカウント管理者がユーザーのアカウントを更新します。 |
|
|
|
ユーザーがアカウント作成後にメールを検証するとき。 |
|
クラスターイベント
ワークスペースレベルでログに記録されるcluster
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがクラスター ACL を変更します。 |
|
|
|
ユーザーがクラスターを作成します。 |
|
|
|
クラスター作成の結果。 |
|
|
|
クラスターが終了します。 |
|
|
|
クラスターの終了の結果。 と組み合わせて |
|
|
|
ユーザーがクラスター設定を変更します。 これにより、クラスターサイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。 |
|
|
|
クラスターが UI から削除されます。 |
|
|
|
クラスターのサイズが変更されます。 これは稼働中のクラスターにログオンし、変更されるプロパティはクラスター サイズまたはオートスケールの動作のみです。 |
|
|
|
クラスターのサイズ変更の結果。 と組み合わせて |
|
|
|
ユーザーが稼働中のクラスターを再起動します。 |
|
|
|
クラスターの再起動の結果。 と組み合わせて |
|
|
|
ユーザーがクラスターを開始します。 |
|
|
|
クラスター開始の結果。 と組み合わせて |
|
クラスター・ライブラリー・イベント
ワークスペースレベルでログに記録されるclusterLibraries
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがクラスターにライブラリをインストールします。 |
|
|
|
ユーザーがクラスター上のライブラリをアンインストールします。 |
|
|
|
ワークスペース管理者は、すべてのクラスターにインストールするライブラリをスケジュールします。 |
|
|
|
ワークスペース管理者は、ライブラリをリストから削除して、すべてのクラスターにインストールします。 |
|
クラスターポリシー イベント
ワークスペースレベルでログに記録されるclusterPolicies
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがクラスター ポリシーを作成しました。 |
|
|
|
ユーザーがクラスターポリシーを編集しました。 |
|
|
|
ユーザーがクラスターポリシーを削除しました。 |
|
|
|
ワークスペース管理者は、クラスターポリシーのアクセス許可を変更します。 |
|
ダッシュボードのイベント
ワークスペースレベルでログに記録されるdashboards
イベントを次に示します。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、UI または API を使用して新しい Lakeview ダッシュボードを作成します。 |
|
|
|
ユーザーは、UI または API を使用して Lakeview ダッシュボードを更新します。 |
|
|
|
ユーザーが Lakeview ダッシュボードを複製します。 |
|
|
|
ユーザーは、UI または API を使用して、埋め込み資格情報の有無にかかわらず Lakeview ダッシュボードを公開します。 |
|
|
|
ユーザーは、UI または API を使用して、公開済みの Lakeview ダッシュボードを非公開にします。 |
|
|
|
ユーザーは、UI または API を使用して Lakeview ダッシュボードをゴミ箱に移動します。 |
|
|
|
ユーザーがゴミ箱から Lakeview ダッシュボードを復元します。 |
|
|
|
ユーザーは DBSQL ダッシュボードを Lakeview ダッシュボードに移行します。 |
|
|
|
ユーザーが電子メール購読スケジュールを作成します。 |
|
|
|
ユーザーが Lakeview ダッシュボードのスケジュールを更新します。 |
|
|
|
ユーザーが Lakeview ダッシュボードのスケジュールを削除します。 |
|
|
|
ユーザーは、電子メールの送信先をLakeviewダッシュボード スケジュールに登録します。 |
|
|
|
ユーザーがLakeviewダッシュボード スケジュールから電子メールの宛先を削除します。 |
|
Databricks SQL イベント
ワークスペースレベルでログに記録されるdatabrickssql
イベントを次に示します。
注
従来の SQLエンドポイント API を使用して SQLウェアハウスを管理する場合、SQLウェアハウスの監査イベントには異なるアクション名が付けられます。 「SQLエンドポイント ログ」を参照してください。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ウィジェットがダッシュボードに追加されます。 |
|
|
|
クエリーの実行は、SQL エディターの UI からキャンセルされます。 これには、クエリー履歴 UI または Databricks SQL 実行 API から発生したキャンセルは含まれません。 |
|
|
|
ウェアハウス マネージャーは、SQLウェアハウスのアクセス許可を更新します。 |
|
|
|
ユーザーがオブジェクトの権限を更新します。 |
|
|
|
ユーザーがダッシュボードを複製します。 |
|
|
|
詳細な監査ログのみ。 コマンドが SQLウェアハウスにサブミットされたときに、リクエストの発信元に関係なく生成されます。 |
|
|
|
詳細な監査ログのみ。 SQLウェアハウス上のコマンドが完了または取り消されたときに、取り消し要求の発生元に関係なく生成されます。 |
|
|
|
ユーザーがアラートを作成します。 |
|
|
|
ワークスペース管理者は、通知の宛先を作成します。 |
|
|
|
ユーザーがダッシュボードを作成します。 |
|
|
|
ユーザーがデータ プレビュー ダッシュボードを作成します。 |
|
|
|
クラスター作成エンタイトルメントを持つユーザーは、SQLウェアハウスを作成します。 |
|
|
|
ユーザーは、クエリーのドラフトを保存してクエリーを作成します。 |
|
|
|
ユーザーがクエリーの下書きを作成します。 |
|
|
|
ユーザーがクエリー スニペットを作成します。 |
|
|
|
ユーザーがサンプル ダッシュボードを作成します。 |
|
|
|
ユーザーは、SQL エディターを使用してビジュアリゼーションを生成します。 SQLウェアハウスを利用するノートブックの既定の結果テーブルと視覚化を除外します。 |
|
|
|
ユーザーは、アラート インターフェイスから、または API を介してアラートを削除します。 ファイル ブラウザーの UI からの削除を除外します。 |
|
|
|
ワークスペース管理者が通知先を削除します。 |
|
|
|
ユーザーは、ダッシュボード インターフェイスまたは API を使用してダッシュボードを削除します。 ファイルブラウザUIによる削除を除外します。 |
|
|
|
ユーザーがダッシュボードウィジェットを削除します。 |
|
|
|
ウェアハウス・マネージャーがSQLウェアハウスを削除します。 |
|
|
|
ユーザーは、クエリーインターフェイスから、または API を使用してクエリーを削除します。 ファイルブラウザUIによる削除を除外します。 |
|
|
|
ユーザーがクエリーの下書きを削除しました。 |
|
|
|
ユーザーがクエリー スニペットを削除しました。 |
|
|
|
ユーザーが SQL エディターのクエリーからビジュアリゼーションを削除します。 |
|
|
|
ユーザーは、SQL エディターからクエリーの結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。 |
|
|
|
ウェアハウス・マネージャーは、SQLウェアハウスを編集します。 |
|
|
|
次のいずれかによって生成されます。
|
|
|
|
ユーザーが保存されたクエリーを実行します。 |
|
|
|
ダッシュボードパネルが更新されるようなクエリーを実行するイベントによって生成されます。 適用可能なイベントの例としては、次のようなものがあります。
|
|
|
|
ユーザーがダッシュボードをお気に入りに登録します。 |
|
|
|
ユーザーがクエリーをお気に入りに登録します。 |
|
|
|
ユーザーがクエリーを複製します。 |
|
|
|
ユーザーがクエリー リスト ページを開くか、リスト クエリー API を呼び出します。 |
|
|
|
ユーザーがダッシュボードをゴミ箱に移動します。 |
|
|
|
ユーザーがクエリーをゴミ箱に移動します。 |
|
|
|
ユーザーが API を使用してアラートをミュートします。 |
|
|
|
ユーザーがごみ箱からダッシュボードを復元します。 |
|
|
|
ユーザーがごみ箱からクエリーを復元します。 |
|
|
|
ウェアハウス・マネージャーは、SQLウェアハウスの構成を設定します。 |
|
|
|
ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。 |
|
|
|
SQLウェアハウスが起動します。 |
|
|
|
ウェアハウス・マネージャーがSQLウェアハウスを停止します。 自動停止ウェアハウスは除外されます。 |
|
|
|
ワークスペース管理者は、ダッシュボード、クエリー、またはアラートの所有権をアクティブなユーザーに譲渡します。 |
|
|
|
ユーザーがダッシュボードをお気に入りから削除します。 |
|
|
|
ユーザーがお気に入りからクエリーを削除します。 |
|
|
|
ユーザーが API を使用してアラートのミュートを解除します |
|
|
|
ユーザーがアラートを更新します。 |
|
|
|
ワークスペース管理者は、通知の宛先を更新します。 |
|
|
|
ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更を除外します。 適用可能な更新プログラムの例は次のとおりです。
|
|
|
|
ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例は次のとおりです。
|
|
|
|
ワークスペース管理者は、ワークスペースの SQL 設定を更新します。 |
|
|
|
ユーザーがクエリーを更新します。 |
|
|
|
ユーザーがクエリーのドラフトを更新します。 |
|
|
|
ユーザーがクエリー スニペットを更新します。 |
|
|
|
ユーザーは、SQL エディターまたはダッシュボードからビジュアリゼーションを更新します。 |
|
DBFS イベント
次の表に、ワークスペース レベルでログに記録される dbfs
イベントを示します。
DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。
DBFS API イベント
次の DBFS 監査イベントは、 DBFS REST API を使用して書き込まれた場合にのみログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがストリームにデータ ブロックを追加します。 これは、DBFS にデータをストリーム配信するために dbfs/create と組み合わせて使用されます。 |
|
|
|
ユーザーがストリームを開いて DBF にファイルを書き込む。 |
|
|
|
ユーザーが DBF からファイルまたはディレクトリを削除します。 |
|
|
|
ユーザーが新しいDBFSディレクトリを作成します。 |
|
|
|
ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。 |
|
|
|
ユーザーは、マルチパート フォーム ポストを使用して DBF にファイルをアップロードします。 |
|
パイプライン イベント Delt a
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがパイプラインのアクセス許可を変更します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを作成します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを削除します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを編集します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを再起動します。 |
|
|
|
ユーザーが Delta Live Tables パイプラインを停止します。 |
|
Feature Store イベント
次の featureStore
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
コンシューマが Feature Storeに追加されます。 |
|
|
|
特徴量テーブルにデータソースを追加します。 |
|
|
|
特徴量テーブルにプロデューサーが追加されます。 |
|
|
|
権限は特徴量テーブルで変更します。 |
|
|
|
特徴量テーブルが作成されます。 |
|
|
|
特徴量テーブルで作成します。 |
|
|
|
特徴量テーブルが削除されます。 |
|
|
|
特徴量テーブルからタグが削除されます。 |
|
|
|
ユーザーは、消費者を特徴量テーブルに取り込むために呼び出しを行います。 |
|
|
|
ユーザーが呼び出して Get 特徴量テーブルを取得します。 |
|
|
|
ユーザーが呼び出しを行って、特徴量テーブル ID を取得します。 |
|
|
|
ユーザーが呼び出しを行って機能を取得します。 |
|
|
|
ユーザーがモデルサービングのメタデータを取得するために呼び出しを行います。 |
|
|
|
ユーザーが電話をかけて、オンラインストアの詳細を取得します。 |
|
|
|
ユーザーが呼び出して、特徴量テーブルのタグを取得します。 |
|
|
|
特徴量テーブルを公開しました。 |
|
|
|
ユーザーが「特徴量テーブル」を検索します。 |
|
|
|
タグは特徴量テーブルに追加されます。 |
|
|
|
特徴量テーブルを更新しました。 |
|
ファイル API イベント
次の filesystem
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがファイルをダウンロードします。 |
|
|
|
ユーザーがファイルをアップロードします。 |
|
|
|
ユーザーがファイルを削除します。 |
|
|
|
ユーザーはファイルに関する情報を取得します。 |
|
Genieイベント
次の genie
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
Databricks の担当者は、顧客環境にアクセスする権限があります。 |
|
Git 資格情報イベント
次の gitCredentials
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが git 資格情報を取得します。 |
|
|
|
ユーザーがすべての git 資格情報を一覧表示する |
何一つ |
|
|
ユーザーが git 資格情報を削除します。 |
|
|
|
ユーザーが git 資格情報を更新します。 |
|
|
|
ユーザーが git 資格情報を作成します。 |
|
グローバル initスクリプト イベント
次の globalInitScripts
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者は、グローバル初期化スクリプトを作成します。 |
|
|
|
ワークスペース管理者は、グローバル初期化スクリプトを更新します。 |
|
|
|
ワークスペース管理者がグローバル初期化スクリプトを削除します。 |
|
グループイベント
次の groups
イベントは、ワークスペース レベルでログに記録されます。 これらのアクションは、レガシー ACL グループに関連しています。 アカウントレベルおよびワークスペースレベルのグループに関連するアクションについては、「アカウントイベント」および「アカウント レベルのアカウントイベント 」を参照してください。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者がユーザーをグループに追加します。 |
|
|
|
管理者がグループを作成します。 |
|
|
|
管理者がグループ メンバーを表示します。 |
|
|
|
管理者がグループのリストを表示する |
何一つ |
|
|
管理者が継承されたグループを表示する |
何一つ |
|
|
管理者がグループを削除した。 |
|
IAMロールイベント
次の iamRole
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者が IAM ロールのアクセス許可を変更します。 |
|
インジェスト イベント
次の ingestion
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Databricks ワークスペースにファイルをアップロードします。 |
|
インスタンス・プール・イベント
次の instancePools
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがインスタンス・プールの権限を変更します。 |
|
|
|
ユーザーがインスタンス・プールを作成します。 |
|
|
|
ユーザーがインスタンス・プールを削除します。 |
|
|
|
ユーザーがインスタンス・プールを編集します。 |
|
ジョブイベント
次の jobs
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ジョブ実行が取り消されます。 |
|
|
|
ユーザーがジョブのすべての実行を取り消します。 |
|
|
|
ユーザーがジョブの権限を更新します。 |
|
|
|
ユーザーがジョブを作成します。 |
|
|
|
ユーザーがジョブを削除します。 |
|
|
|
ユーザーがジョブ実行を削除します。 |
|
|
|
ユーザーが API 呼び出しを行って、実行出力を取得します。 |
|
|
|
ユーザーがジョブ実行を修復します。 |
|
|
|
ジョブがリセットされます。 |
|
|
|
ユーザーがジョブの権限の変更を要求します。 |
|
|
|
詳細な監査ログが有効になっている場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に出力されます。 コマンドは、ノートブックのセルに対応します。 |
|
|
|
ジョブの実行が失敗します。 |
|
|
|
ユーザーがオンデマンド ジョブの実行をトリガーします。 |
|
|
|
検証とクラスターの作成後にジョブの実行が開始されたときに発生します。 このイベントから出力される要求パラメーターは、ジョブ内のタスクのタイプによって異なります。 リストされているパラメーターに加えて、次のものを含めることができます。
|
|
|
|
ジョブの実行は成功しました。 |
|
|
|
ジョブ・スケジュールは、そのスケジュールまたはトリガーに従って自動的にトリガーされます。 |
|
|
|
Webhook は、ジョブの開始時、完了時、または失敗時に送信されます。 |
|
|
|
ユーザーがタスクの値を設定します。 |
|
|
|
ユーザーは、API を介して 1 回限りの実行を送信します。 |
|
|
|
ユーザーがジョブの設定を編集します。 |
|
Marketplace コンシューマー イベント
次の marketplaceConsumer
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、Databricks Marketplace を通じてデータ製品にアクセスできます。 |
|
|
|
ユーザーは、プロバイダーの承認を必要とするデータ製品へのアクセスを要求します。 |
|
プロバイダー イベント Marketplac e
次の marketplaceProvider
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
メタストア管理者は、プロバイダー プロファイルにリストを作成します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルのリストを更新します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルの一覧を削除します。 |
|
|
|
メタストア管理者は、データ製品要求を承認または拒否します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを作成します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを更新します。 |
|
|
|
メタストア管理者は、プロバイダー プロファイルを削除します。 |
|
|
|
プロバイダーは、プロバイダープロファイルにファイルをアップロードします。 |
|
|
|
プロバイダーは、プロバイダー プロファイルからファイルを削除します。 |
|
ACL イベント を使用した MLflow アーティファクト
次の mlflowAcledArtifact
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがアーティファクトを読み取るために呼び出しを行います。 |
|
|
|
ユーザーがアーティファクトに書き込むための呼び出しを行います。 |
|
MLflow エクスペリメント イベント
次の mlflowExperiment
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが MLflow エクスペリメントを作成します。 |
|
|
|
ユーザーが MLflow エクスペリメントを削除します。 |
|
|
|
ユーザーが MLflow エクスペリメントを移動します。 |
|
|
|
ユーザーが MLflow エクスペリメントを復元します。 |
|
|
|
ユーザーが MLflow エクスペリメントの名前を変更します。 |
|
MLflow モデルレジストリ イベント
次の mlflowModelRegistry
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがモデル バージョンのステージの移行要求を承認します。 |
|
|
|
ユーザーが登録済みモデルの権限を更新します。 |
|
|
|
ユーザーがモデル バージョンにコメントを投稿します。 |
|
|
|
ユーザーがモデル バージョンを作成します。 |
|
|
|
ユーザーが新しい登録済みモデルを作成する |
|
|
|
ユーザーが Model Registry イベント用の Webhook を作成します。 |
|
|
|
ユーザーがモデル バージョン ステージの移行要求を作成します。 |
|
|
|
ユーザーがモデル バージョンのコメントを削除します。 |
|
|
|
ユーザーがモデル バージョンを削除します。 |
|
|
|
ユーザーがモデル バージョン タグを削除します。 |
|
|
|
ユーザーが登録済みモデルを削除する |
|
|
|
ユーザーが登録済みモデルのタグを削除します。 |
|
|
|
ユーザーが Model Registry Webhook を削除します。 |
|
|
|
ユーザーがモデル バージョンのステージの移行要求を取り消します。 |
|
|
|
モデルの非同期コピーが完了しました。 |
|
|
|
バッチ推論ノートブックが自動生成されます。 |
|
|
|
Delta Live Tables パイプラインの推論ノートブックは自動生成されます。 |
|
|
|
ユーザーは、モデル バージョンをダウンロードするための URI を取得します。 |
|
|
|
ユーザーは、署名されたモデル バージョンをダウンロードするための URI を取得します。 |
|
|
|
ユーザーは、モデルの成果物を一覧表示する呼び出しを行います。 |
|
|
|
ユーザーは、モデル内のすべてのレジストリ Webhook を一覧表示する呼び出しを行います。 |
|
|
|
ユーザーがモデル バージョン ステージの移行要求を拒否します。 |
|
|
|
ユーザーが登録済みモデルの名前を変更する |
|
|
|
ユーザーが登録済みモデルの Eメール サブスクリプション ステータスを更新する |
|
|
|
ユーザーがモデル バージョン タグを設定します。 |
|
|
|
ユーザーがモデル バージョン タグを設定します。 |
|
|
|
ユーザーは、レジストリ全体の電子メール通知ステータスを更新します。 |
|
|
|
ユーザーが Model Registry Webhook をテストします。 |
|
|
|
ユーザーは、モデル バージョンに対して開いているすべてのステージの移行要求の一覧を取得します。 |
|
|
|
Model Registry Webhook は、イベントによってトリガーされます。 |
|
|
|
ユーザーがモデル バージョンのコメントに編集を投稿します。 |
|
|
|
ユーザーが Model Registry Webhook を更新します。 |
|
モデル提供イベント
次の serverlessRealTimeInference
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが推論エンドポイントのアクセス許可を更新します。 |
|
|
|
ユーザーがモデルサービングエンドポイントを作成します。 |
|
|
|
ユーザーがモデルサービング エンドポイントを削除します。 |
|
|
|
ユーザーが登録済みモデルのモデルサービングを無効にします。 |
|
|
|
ユーザーは、登録されたモデルに対してモデルサービングを有効にします。 |
|
|
|
ユーザは、クエリースキーマのプレビューを取得するための呼び出しを行います。 |
|
|
|
ユーザーがモデルサービング エンドポイントを更新します。 |
|
ノートブック イベント
次の notebook
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ノートブックがクラスターに接続されています。 |
|
|
|
ユーザーがノートブックを複製します。 |
|
|
|
ノートブックが作成されます。 |
|
|
|
ノートブック フォルダーが削除されます。 |
|
|
|
ノートブックが削除されます。 |
|
|
|
ノートブックがクラスターからデタッチされます。 |
|
|
|
ユーザーがダウンロードしたクエリーの結果が大きすぎてノートブックに表示できません。 |
|
|
|
ユーザーがクエリーの結果をダウンロードします。 |
|
|
|
ユーザーがノートブックをインポートします。 |
|
|
|
ノートブック フォルダーは、ある場所から別の場所に移動されます。 |
|
|
|
ノートブックは、ある場所から別の場所に移動されます。 |
|
|
|
ノートブックの名前が変更されます。 |
|
|
|
削除したフォルダが復元されます。 |
|
|
|
削除したノートブックが復元されます。 |
|
|
|
詳細監査ログが有効になっている場合に使用できます。 Databricks がノートブックでコマンドを実行した後に生成されます。 コマンドは、ノートブックのセルに対応します。
|
|
|
|
ノートブックのスナップショットは、ジョブ サービスまたは mlflow の実行時に取得されます。 |
|
Partner Connect イベント
次の partnerHub
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者は、パートナー ソリューションへの接続を設定します。 |
|
|
|
ワークスペース管理者がパートナー接続を削除します。 |
|
|
|
ワークスペース管理者がパートナー接続ファイルをダウンロードします。 |
|
|
|
ワークスペース管理者は、パートナー接続のリソースを設定します。 |
|
リモート履歴サービス・イベント
次の remoteHistoryService
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Github 資格情報を追加する |
何一つ |
|
|
ユーザーが Github 資格情報を削除する |
何一つ |
|
|
ユーザーが Github 資格情報を更新する |
何一つ |
Gitフォルダーのイベント
次の repos
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが repo上のブランチをチェックアウトします。 |
|
|
|
ユーザーがコミットし、 repoにプッシュします。 |
|
|
|
ユーザーがワークスペースに Repos を作成する |
|
|
|
ユーザーが repoを削除します。 |
|
|
|
ユーザーが repoへのコミットを破棄します。 |
|
|
|
ユーザーが 1 つの repoに関する情報を取得するために呼び出しを行います。 |
|
|
|
ユーザーは、管理アクセス許可を持つすべての repo を取得するために呼び出しを行います。 |
|
|
|
ユーザーが repoから最新のコミットをプルします。 |
|
|
|
ユーザーが repo を別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。 |
|
シークレット イベント
次の secrets
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーがシークレットスコープを作成します。 |
|
|
|
ユーザーがシークレットスコープの ACL を削除します。 |
|
|
|
ユーザーがシークレットスコープを削除します。 |
|
|
|
ユーザーがスコープからシークレットを削除します。 |
|
|
|
ユーザーはシークレットスコープの ACL を取得します。 |
|
|
|
ユーザーがスコープからシークレットを取得します。 |
|
|
|
ユーザーは、シークレットスコープの ACL を一覧表示する呼び出しを行います。 |
|
|
|
ユーザーがシークレットスコープを一覧表示するために呼び出します |
何一つ |
|
|
ユーザーは、スコープ内のシークレットを一覧表示するための呼び出しを行います。 |
|
|
|
ユーザーがシークレットスコープの ACL を変更します。 |
|
|
|
ユーザーがスコープ内でシークレットを追加または編集します。 |
|
SQL テーブル アクセス イベント
注
sqlPermissions
サービスには、従来の Hive metastore テーブルアクセスコントロールに関連するイベントが含まれます。 Databricks では、 Hive metastore によって管理されるテーブルを Unity Catalog メタストアにアップグレードすることをお勧めします。
次の sqlPermissions
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
オブジェクトのワークスペース管理者または所有者は、オブジェクトの所有権を譲渡します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトを作成します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトを削除します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求します。 |
|
|
|
オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を取り消します。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可を表示します。 |
|
SSH イベント
次の ssh
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
SparkドライバーへのSSHのエージェントログイン。 |
|
|
|
SparkドライバーからのSSHのエージェントログアウト。 |
|
Webターミナルイベント
次の webTerminal
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーが Web ターミナル セッションを開始します。 |
|
|
|
ユーザーが Web ターミナル セッションを閉じます。 |
|
ワークスペースイベント
次の workspace
イベントは、ワークスペース レベルでログに記録されます。
サービス |
アクション名 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペースへのアクセス許可が変更されます。 |
|
|
|
ワークスペースから設定が削除されます。 |
|
|
|
ユーザーがワークスペースにファイルを作成します。 |
|
|
|
ユーザーがワークスペース内のファイルを削除します。 |
|
|
|
ユーザーがファイルエディタを開きます。 |
|
|
|
ユーザーは、ワークスペースのユーザー ロールを取得します。 |
|
|
|
社内のOAuth認証コードがワークスペースレベルで作成されたときに記録されます。 |
|
|
|
OAuthトークンはワークスペース用にミントされます。 |
|
|
|
ワークスペース管理者がワークスペース ノードを移動します。 |
|
|
|
ワークスペース管理者は、ワークスペース ノードをパージします。 |
|
|
|
ワークスペースに再追加されたユーザーに対して、既存のホームフォルダーが再アタッチされます。 |
|
|
|
ワークスペース管理者は、ワークスペース ノードの名前を変更します。 |
|
|
|
ホームフォルダーの特殊属性は、ユーザーがワークスペースから削除されると削除されます。 |
|
|
|
ワークスペース管理者は、ワークスペース ユーザーのロールを更新します。 |
|
|
|
ワークスペース管理者は、ワークスペース設定を構成します。 |
|
|
|
ワークスペース管理者は、詳細な監査ログを有効にするなど、設定を更新します。 |
|
|
|
ユーザーがワークスペースからノートブックをエクスポートします。 |
|
|
|
OAuthクライアントはワークスペースサービスで認証されます。 |
|
課金対象の使用状況イベント
次の accountBillableUsage
イベントがアカウント レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ユーザーは、使用状況グラフ機能を介してアカウントの集計課金利用率(1日あたりの使用量)にアクセスしました。 |
|
|
|
ユーザーは、利用状況のダウンロード機能を通じて、アカウントの詳細な課金利用(クラスタごとの利用状況)にアクセスしました。 |
|
アカウント単位のアカウントイベント
次の accounts
イベントがアカウント レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
OAuthクライアントが認証されます。 |
|
|
|
IP アクセス許可の検証に失敗します。 状態コード 403 を返します。 |
|
|
|
ユーザーは、非アクティブ化された後、再アクティブ化されます。 「アカウント内のユーザーを無効にする」を参照してください。 |
|
|
|
Databricks アカウントにユーザーが追加されます。 |
|
|
|
ユーザーがアカウントレベルのグループに追加されます。 |
|
|
|
ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループに追加されます。 |
|
|
|
アカウントレベルのグループが作成されます。 |
|
|
|
ユーザーが非アクティブ化されます。 「アカウント内のユーザーを無効にする」を参照してください。 |
|
|
|
Databricks アカウントからユーザーが削除されます。 |
|
|
|
アカウント管理者は、Databricks アカウントから設定を削除します。 |
|
|
|
ユーザーは、期限切れのトークンに対してガベージ・コレクト・コマンドを実行します。 |
|
|
|
ユーザーは、[ユーザー設定] から、またはサービスがトークンを生成するときに、トークンを生成します。 |
|
|
|
ユーザーがアカウントコンソールにログインします。 |
|
|
|
ユーザーがアカウント コンソールからログアウトします。 |
|
|
|
社内のOAuth認証コードがアカウントレベルで作成されたときに記録されます。 |
|
|
|
アカウントレベルのOAuthトークンがサービスプリンシパルに発行されます。 |
|
|
|
ユーザーは、OpenID Connect ブラウザー ワークフローを使用して自分のアカウントにログインします。 |
|
|
|
OIDC トークンは、アカウント管理者ログインに対して認証されます。 |
|
|
|
ユーザーのパスワードは、アカウントコンソールのログイン時に検証されます。 |
|
|
|
アカウント管理者は、別のユーザーからアカウント管理者権限を削除します。 |
|
|
|
アカウントからグループが削除されます。 |
|
|
|
ユーザーがアカウントレベルのグループから削除されます。 |
|
|
|
ユーザーは、SCIM プロビジョニングを使用してアカウントレベルのグループから削除されます。 |
|
|
|
アカウント管理者は、アカウント管理者ロールを別のユーザーに割り当てます。 |
|
|
|
アカウント管理者がアカウントレベルの設定を更新します。 |
|
|
|
ユーザーは、トークンを使用して Databricks にログインします。 |
|
|
|
アカウント管理者がユーザー アカウントを更新します。 |
|
|
|
アカウント管理者がアカウントレベルのグループを更新します。 |
|
|
|
ユーザーがアカウント作成後にメールを検証するとき。 |
|
アカウントレベルのアクセスコントロールイベント
次の accountsAccessControl
イベントは、アカウント レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ルール セットが変更されたとき。 |
|
アカウント管理イベント
次の accountsManager
イベントがアカウント レベルでログに記録されます。 これらのイベントは、アカウント管理者がアカウントコンソールで行った設定に関係しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者は、ワークスペースの利用規約に同意します。 |
|
|
|
アカウント管理者がユーザーのパスワードをリセットします。 また、リセット後にユーザーがパスワードを変更したかどうかもログに記録します。 |
|
|
|
アカウント所有者の役割が別のアカウント管理者に譲渡された。 |
|
|
|
アカウントは、Databricks によって別のアカウントと統合されました。 |
|
|
|
アカウント管理者が資格情報の構成を作成しました。 |
|
|
|
アカウント管理者が顧客マネージド キー構成を作成しました。 |
|
|
|
アカウント管理者がネットワーク構成を作成しました。 |
|
|
|
アカウント管理者がプライベートアクセス設定の構成を作成しました。 |
|
|
|
アカウント管理者がストレージ構成を作成しました。 |
|
|
|
アカウント管理者が VPC エンドポイント設定を作成しました。 |
|
|
|
アカウント管理者が新しいワークスペースを作成します。 |
|
|
|
アカウント管理者が資格情報の構成を削除しました。 |
|
|
|
アカウント管理者が顧客マネージド キーの構成を削除しました。 |
|
|
|
アカウント管理者がネットワーク構成を削除しました。 |
|
|
|
アカウント管理者がプライベートアクセス設定の構成を削除しました。 |
|
|
|
アカウント管理者がストレージ設定を削除しました。 |
|
|
|
アカウント管理者が VPC エンドポイント設定を削除しました。 |
|
|
|
アカウント管理者がワークスペースを削除しました。 |
|
|
|
アカウント管理者は、資格情報の構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、顧客マネージド キーの構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、ネットワーク構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、プライベートアクセス設定の構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、ストレージ構成に関する詳細を要求します。 |
|
|
|
アカウント管理者は、VPC エンドポイント設定に関する詳細を要求します。 |
|
|
|
アカウント管理者は、ワークスペースに関する詳細を要求します。 |
|
|
|
アカウント管理者は、アカウント内のすべての資格情報構成を一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべての顧客マネージド キー構成を一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのネットワーク構成を一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのプライベートアクセス設定構成を一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのストレージ構成を一覧表示します。 |
|
|
|
アカウント管理者は、すべてのアカウント課金サブスクリプションを一覧表示します。 |
|
|
|
アカウント管理者は、アカウントのすべての VPC エンドポイント構成を一覧表示しました。 |
|
|
|
アカウント管理者は、アカウント内のすべてのワークスペースを一覧表示します。 |
|
|
|
アカウント管理者は、特定のワークスペース内のすべての暗号化キー レコードを一覧表示します。 |
|
|
|
アカウント管理者は、アカウント内のすべての暗号化キーレコードを一覧表示します。 |
|
|
|
Databricks のサービス使用条件に同意するために、ワークスペース管理者に電子メールが送信されました。 |
|
|
|
アカウントの詳細が内部で変更されました。 |
|
|
|
アカウントの課金サブスクリプションが更新されました。 |
|
|
|
管理者がワークスペースの構成を更新しました。 |
|
ログ配信イベント
次の logDelivery
イベントがアカウント レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
管理者がログ配信構成を作成しました。 |
|
|
|
管理者がログ配信構成の詳細を要求しました。 |
|
|
|
管理者は、アカウント内のすべてのログ配信構成を一覧表示しました。 |
|
|
|
管理者がログ配信構成を更新しました。 |
|
OAuth SSO イベント
次の oauth2
イベントはアカウントレベルでログに記録され、アカウントコンソールへの OAuth SSO 認証に関連しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ワークスペース管理者は、カスタムアプリ統合を作成します。 |
|
|
|
ワークスペース管理者は、公開済みアプリ統合を使用してアプリ統合を作成します。 |
|
|
|
ワークスペース管理者がカスタムアプリ統合を削除します。 |
|
|
|
ワークスペース管理者が公開済みアプリ統合を削除します。 |
|
|
|
ワークスペース管理者は、OAuthにアカウントを登録します。 |
|
|
|
ワークスペース管理者は、カスタムアプリ統合を更新します。 |
|
|
|
ワークスペース管理者は、公開済みアプリの統合を更新します。 |
|
サービスプリンシパル 資格情報イベント (パブリック プレビュー)
次の servicePrincipalCredentials
イベントがアカウント レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者は、サービスプリンシパルのOAuthシークレットを生成します。 |
|
|
|
アカウント管理者は、サービスプリンシパルの下にすべてのOAuthシークレットを一覧表示します。 |
|
|
|
アカウント管理者は、サービスプリンシパルのOAuthシークレットを削除します。 |
|
シングルサインオンイベント
次の ssoConfigBackend
イベントはアカウントレベルでログに記録され、アカウントコンソールの SSO 認証に関連しています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者がアカウントコンソールのSSO設定を作成しました。 |
|
|
|
アカウント管理者が、アカウントコンソールのSSO設定に関する詳細を要求しました。 |
|
|
|
アカウント管理者がアカウントコンソールのSSO設定を更新しました。 |
|
Unity Catalog イベント
次の監査イベントはUnity Catalogに関連しています。 Delta Sharingイベントは、unityCatalog
サービスでも記録されます。 Delta Sharingイベントについては、 Delta Sharingイベント」を参照してください。 Unity Catalog監査イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルで記録できます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
アカウント管理者がメタストアを作成します。 |
|
|
|
アカウント管理者はメタストア ID を要求します。 |
|
|
|
アカウント管理者は、メタストアに関する詳細を要求します。 |
|
|
|
アカウント管理者は、アカウント内のすべてのメタストアのリストを要求します。 |
|
|
|
アカウント管理者がメタストアを更新します。 |
|
|
|
アカウント管理者がメタストアを削除します。 |
|
|
|
アカウント管理者は、メタストアのワークスペースの割り当てを更新します。 |
|
|
|
アカウント管理者が外部ロケーションを作成します。 |
|
|
|
アカウント管理者は、外部ロケーションに関する詳細を要求します。 |
|
|
|
アカウント内のすべての外部ロケーションのアカウント管理者リクエストリスト。 |
|
|
|
アカウント管理者は、外部ロケーションを更新します。 |
|
|
|
アカウント管理者が外部ロケーションを削除します。 |
|
|
|
ユーザーがカタログを作成します。 |
|
|
|
ユーザーがカタログを削除します。 |
|
|
|
ユーザーがカタログの詳細を要求します。 |
|
|
|
ユーザーがカタログを更新します。 |
|
|
|
ユーザーは、メタストア内のすべてのカタログを一覧表示する呼び出しを行います。 |
|
|
|
ユーザーがスキーマを作成します。 |
|
|
|
ユーザーがスキーマを削除します。 |
|
|
|
ユーザーがスキーマの詳細を要求します。 |
|
|
|
ユーザーがカタログ内のすべてのスキーマのリストを要求します。 |
|
|
|
ユーザーがスキーマを更新します。 |
|
|
|
|
|
|
|
ユーザーがテーブルを作成します。 要求パラメーターは、作成されるテーブルの種類によって異なります。 |
|
|
|
ユーザーがテーブルを削除します。 |
|
|
|
ユーザーがテーブルの詳細を要求します。 |
|
|
|
|
|
|
|
ユーザーは、スキーマ内のすべてのテーブルを一覧表示する呼び出しを行います。 |
|
|
|
ユーザーは、メタストア内のスキーマとカタログのテーブルの概要の配列を取得します。 |
|
|
|
ユーザーがテーブルを更新します。 表示される要求パラメーターは、行われたテーブル更新のタイプによって異なります。 |
|
|
|
アカウント管理者がストレージ資格情報を作成します。 クラウドプロバイダーの認証情報に基づいて追加のリクエストパラメータが表示される場合があります。 |
|
|
|
アカウント管理者は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。 |
|
|
|
アカウント管理者は、ストレージ資格情報に関する詳細を要求します。 |
|
|
|
アカウント管理者がストレージ資格情報を更新します。 |
|
|
|
アカウント管理者がストレージ資格情報を削除します。 |
|
|
|
テーブルに一時的な認証情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何をクエリーしたかを判断できます。 |
|
|
|
パスに対して一時的な認証情報が付与されるたびにログに記録されます。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得するために呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。 |
|
|
|
ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得するために呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。 |
|
|
|
ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。 |
|
|
|
ユーザークエリー 以前のテーブルバージョンのメタデータ。 |
|
|
|
ユーザークエリー 以前のテーブルバージョンのメタデータと権限。 |
|
|
|
ユーザーは、以前のテーブル バージョンからメタデータを更新します。 |
|
|
|
ユーザーが呼び出しを行って、外部キーの詳細を取得します。 |
|
|
|
ユーザーが呼び出しを行って、スキーマの詳細を取得します。 |
|
|
|
ユーザーがテーブルの制約を作成します。 |
|
|
|
ユーザーがテーブルの制約を削除します。 |
|
|
|
ユーザーが Unity Catalog パイプラインを作成します。 |
|
|
|
ユーザーが Unity Catalog パイプラインを更新します。 |
|
|
|
ユーザーが Unity Catalog パイプラインに関する詳細を要求します。 |
|
|
|
ユーザーが Unity Catalog パイプラインを削除します。 |
|
|
|
リソースの削除に失敗する |
何一つ |
|
|
ユーザーが Unity Catalog ボリュームを作成します。 |
|
|
|
ユーザーが呼び出しを行って、Unity Catalog ボリュームに関する情報を取得します。 |
|
|
|
ユーザーは、 |
|
|
|
ユーザーが Unity Catalog ボリュームを削除します。 |
|
|
|
ユーザーが呼び出しを行って、スキーマ内のすべての Unity Catalog ボリュームの一覧を取得します。 |
|
|
|
一時的な資格情報は、ユーザーがボリュームで読み取りまたは書き込みを実行するときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを確認できます。 |
|
|
|
セキュリティ保護可能な保護可能なタグの割り当てがフェッチされる |
|
|
|
サブエンティティのタグ割り当てがフェッチされる |
|
|
|
セキュリティ保護可能なタグの割り当てが更新されました |
|
|
|
サブエンティティのタグ割り当てが更新される |
|
|
|
ユーザーが Unity Catalog に登録されたモデルを作成します。 |
|
|
|
ユーザーが呼び出しを行って、Unity Catalog に登録されたモデルに関する情報を取得します。 |
|
|
|
ユーザーが Unity Catalog に登録されたモデルのメタデータを更新します。 |
|
|
|
ユーザーが Unity Catalog に登録されたモデルを削除します。 |
|
|
|
ユーザーは、スキーマ内の Unity Catalog 登録済みモデルの一覧を取得するか、カタログとスキーマ間でモデルを一覧表示するために呼び出しを行います。 |
|
|
|
ユーザーはUnity Catalogでモデルのバージョンを作成します。 |
|
|
|
ユーザーは、モデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを "ファイナライズ" する呼び出しを行い、読み取り専用にして推論ワークフローで使用できるようにします。 |
|
|
|
ユーザーが呼び出して、モデル バージョンの詳細を取得します。 |
|
|
|
ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。 |
|
|
|
ユーザーがモデル バージョンのメタデータを更新します。 |
|
|
|
ユーザーがモデル バージョンを削除します。 |
|
|
|
ユーザーは、登録済みモデル内の Unity Catalog モデル バージョンの一覧を取得するために呼び出しを行います。 |
|
|
|
一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンが確定した後) を実行したときに生成されます。 このイベントを使用して、誰がいつモデル バージョンにアクセスしたかを判断できます。 |
|
|
|
ユーザーは、 Unity Catalogに登録されたモデルにエイリアスを設定します。 |
|
|
|
ユーザーがUnity Catalogに登録されたモデルのエイリアスを削除します。 |
|
|
|
ユーザーは、エイリアスによってUnity Catalogモデル バージョンを取得します。 |
|
|
|
新しい外部接続が作成されます。 |
|
|
|
外部接続が削除されます。 |
|
|
|
外部接続が取得されます。 |
|
|
|
外部接続が更新されます。 |
|
|
|
メタストア内の外部接続が一覧表示されます。 |
|
|
|
ユーザーが新しい関数を作成します。 |
|
|
|
ユーザーが関数を更新します。 |
|
|
|
ユーザーは、特定の親カタログまたはスキーマ内のすべての関数のリストを要求します。 |
|
|
|
ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
|
ユーザーが親カタログまたはスキーマから関数を要求します。 |
|
|
|
|
|
|
|
|
Delta Sharing イベント
Delta Sharingイベントは、データ プロバイダーのアカウントに記録されるイベントとデータ受信者のアカウントに記録されるイベントの 2 つのセクションに分かれています。
Delta Sharingプロバイダーのイベント
次の監査ログ イベントがプロバイダーのアカウントに記録されます。 受信者によって実行されるアクションは、 deltaSharing
プレフィックスで始まります。 これらの各ログには、共有データを管理するメタストアである request_params.metastore_id
と、アクティビティを開始したユーザーの ID である userIdentity.email
も含まれています。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
データ受信者が共有のリストを要求します。 |
|
|
|
データ受信者は、共有に関する詳細を要求します。 |
|
|
|
データ受信者が共有スキーマのリストを要求します。 |
|
|
|
データ受信者は、すべての共有テーブルのリストを要求します。 |
|
|
|
データ受信者が共有テーブルのリストを要求します。 |
|
|
|
データ受信者は、テーブルのメタデータに関する詳細を要求します。 |
|
|
|
データ受信者は、テーブルのバージョンに関する詳細を要求します。 |
|
|
|
データ受信者が共有テーブルをクエリしたときにログに記録されます。 |
|
|
|
データ受信者がテーブルのデータ変更をクエリしたときにログに記録されます。 |
|
|
|
データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
|
データ受信者がクエリに対する応答を受け取った後にログに記録されます。 |
|
|
|
データ受信者は、共有ノートブック ファイルのリストを要求します。 |
|
|
|
データ受信者は、共有ノートブック ファイルをクエリします。 |
|
|
|
データ受信者は、親スキーマ内の関数のリストを要求します。 |
|
|
|
データ受信者は、すべての共有機能のリストを要求します。 |
|
|
|
データ受信者は、関数バージョンのリストを要求します。 |
|
|
|
データ受信者は、スキーマ内の共有ボリュームのリストを要求します。 |
|
|
|
データ受信者は、すべての共有ボリュームを要求します。 |
|
|
|
プロバイダーがメタストアを更新します。 |
|
|
|
プロバイダーは、データ受信者を作成します。 |
|
|
|
プロバイダーは、データ受信者を削除します。 |
|
|
|
プロバイダーは、データ受信者に関する詳細を要求します。 |
|
|
|
プロバイダーは、すべてのデータ受信者のリストを要求します。 |
何一つ |
|
|
プロバイダーは受信者のトークンをローテーションします。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、データ受信者の属性を更新します。 |
|
|
|
プロバイダーは、共有に関する詳細を要求します。 |
|
|
|
プロバイダーは、共有にデータ資産を追加または削除します。 |
|
|
|
プロバイダーは、共有のリストを要求します。 |
何一つ |
|
|
プロバイダーは、共有のアクセス許可の詳細を要求します。 |
|
|
|
プロバイダーは、共有のアクセス許可を更新します。 |
|
|
|
プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。 |
|
|
|
プロバイダーは、アクティベーションリンクのアクティビティに関する詳細を要求します。 |
|
|
|
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
|
|
|
受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
|
Delta Sharing受信者イベント
次のイベントがデータ受信者のアカウントに記録されます。 これらのイベントは、プロバイダーの管理に関連するイベントとともに、共有データおよび AI 資産への受信者のアクセスを記録します。 これらの各イベントには、次のリクエスト パラメーターも含まれます。
recipient_name
: データプロバイダのシステム内の受信者の名前。metastore_id
: データ プロバイダーのシステム内のメタストアの名前。sourceIPAddress
: 要求が発信された IP アドレス。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
データ受信者は、共有テーブルのバージョンの詳細を要求します。 |
|
|
|
データ受信者は、共有テーブルのメタデータの詳細を要求します。 |
|
|
|
データ受信者が共有テーブルを照会します。 |
|
|
|
データ受信者は、テーブルの変更データを照会します。 |
|
|
|
データ受信者は、プロバイダー オブジェクトを作成します。 |
|
|
|
データ受信者がプロバイダー オブジェクトを更新します。 |
|
|
|
データ受信者がプロバイダー オブジェクトを削除します。 |
|
|
|
データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。 |
|
|
|
データ受信者がプロバイダーのリストを要求します。 |
何一つ |
|
|
データ受信者は、プロバイダー オブジェクトをアクティブ化します。 |
|
|
|
データ受信者は、プロバイダーの共有の一覧を要求します。 |
|
|
|
受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。 |
|
|
|
受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。 |
|
追加のセキュリティ監視イベント
クラスターの VM や pro または classic SQLウェアハウスなど、クラシック コンピュート プレーンの Databricks コンピュート リソースの場合、次の機能により、追加のモニタリング エージェントが有効になります。
コンプライアンス セキュリティ プロファイル。 コンプライアンス セキュリティ プロファイルは、 PCI-DSS、 HIPPA、および FedRAMP モデレートのコンプライアンス コントロールに必要です。
サーバレス SQLウェアハウスの場合、コンプライアンス セキュリティ プロファイルが有効であり、 リージョンがコンプライアンス セキュリティ プロファイルを備えたサーバレス SQLウェアハウスをサポートしている場合、監視エージェントが実行されます。
ファイル整合性監視イベント
次の capsule8-alerts-dataplane
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
モニターがオンになっていることを確認するための定期的なイベント。 現在、10 分ごとに実行されます。 |
|
|
|
メモリは、アプリケーションが悪用されているときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 アラート プログラムがヒープまたはスタックメモリのアクセス許可を実行可能に設定するとき。 これにより、特定のアプリケーションサーバーで誤検知が発生する可能性があります。 |
|
|
|
重要なシステムファイルの整合性を監視します。 これらのファイルに対する不正な変更に関するアラート。 Databricks は、イメージ上のシステム パスの特定のセットを定義し、このパスのセットは時間の経過と共に変更される可能性があります。 |
|
|
|
systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
|
プログラムのクラッシュが繰り返し発生する場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、影響を受けるアプリケーションの安定性に問題がある可能性があります。 個々のプログラムの5つ以上のインスタンスがセグメンテーション違反によってクラッシュした場合のアラート。 |
|
|
|
コンテナーは通常静的なワークロードであるため、このアラートは、攻撃者がコンテナーを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナー内で実行された場合にアラートを生成します。 |
|
|
|
メモリは、アプリケーションが悪用されているときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 アラート プログラムがヒープまたはスタックメモリのアクセス許可を実行可能に設定するとき。 これにより、特定のアプリケーションサーバーで誤検知が発生する可能性があります。 |
|
|
|
インタラクティブシェルは、最新の本番運用インフラストラクチャではまれに発生します。 アラート 対話型シェルがリバースシェルで一般的に使用される引数で起動された場合。 |
|
|
|
コマンドログを回避することは攻撃者にとって一般的な方法ですが、正当なユーザーが不正なアクションを実行しているか、ポリシーを回避しようとしていることを示している場合もあります。 ユーザー・コマンド・ヒストリー・ロギングの変更が検出されたときにアラートを出し、ユーザーがコマンド・ロギングを回避しようとしていることを示します。 |
|
|
|
一部の種類のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムの読み込みは、攻撃者が永続性を獲得して検出を回避するために BPF ベースのルートキットを読み込んでいることを示している可能性があります。 アラート プロセスが新しい特権 BPF プログラムをロードしたとき (プロセスがすでに進行中のインシデントの一部である場合)。 |
|
|
|
攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして、検出を回避し、侵害されたノードの永続性を維持します。 カーネルモジュールがロードされたときのアラート (プログラムがすでに進行中のインシデントの一部である場合)。 |
|
|
|
攻撃者は、正当なシステム プログラムまたはサービスを偽装するために、悪意のあるバイナリを作成または名前変更して名前の末尾にスペースを含める可能性があります。 アラート プログラム名の後にスペースを入れてプログラムを実行した場合。 |
|
|
|
カーネル権限昇格エクスプロイトを使用すると、通常、権限のないユーザーは、権限変更の標準ゲートを通過せずにroot権限を取得できます。 アラート プログラムが通常とは異なる方法で特権を昇格しようとした場合。 これにより、大量のワークロードを持つノードで誤検知アラートが発行される可能性があります。 |
|
|
|
内部カーネル関数は通常のプログラムからはアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを強く示しています。 カーネル関数が予期せずユーザー空間に戻ったときのアラート。 |
|
|
|
SMEP と SMAP は、カーネルのエクスプロイトを成功させるのを難しくするプロセッサレベルの保護であり、これらの制限を無効にすることは、カーネルエクスプロイトの一般的な初期段階です。 プログラムがカーネルの SMEP/SMAP 設定を改ざんしたときのアラート。 |
|
|
|
プログラムがコンテナエスケープエクスプロイトで一般的に使用されるカーネル関数を使用している場合にアラートを生成し、攻撃者がコンテナアクセスからノードアクセスに権限を昇格していることを示します。 |
|
|
|
特権コンテナーはホスト リソースに直接アクセスできるため、侵害された場合の影響が大きくなります。 特権コンテナーが起動されたときに、コンテナーが kube-proxy などの既知の特権イメージでない場合にアラートを生成します。 これにより、正当な特権コンテナーに対して不要なアラートが発行される可能性があります。 |
|
|
|
多くのコンテナエスケープは、ホストにコンテナ内のバイナリを実行するように強制し、その結果、攻撃者は影響を受けるノードを完全に制御できます。 コンテナーで作成されたファイルがコンテナーの外部から実行された場合にアラートを生成します。 |
|
|
|
特定の AppArmor 属性の変更はカーネル内でのみ発生し、AppArmor がカーネルのエクスプロイトまたはルートキットによって無効にされていることを示します。 センサーの起動時に検出された AppArmor 構成から AppArmor の状態が変更されたときにアラートを生成します。 |
|
|
|
攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 AppArmor プロファイルを変更するコマンドが実行されたときに、SSH セッションでユーザーによって実行されなかった場合にアラートを生成します。 |
|
|
|
信頼できるソース (パッケージマネージャーや構成管理ツールなど) によって実行されない場合、ブートファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更したことを示している可能性があります。 アラート |
|
|
|
ログ管理ツールによって実行されないログの削除は、攻撃者が侵害の兆候を削除しようとしていることを示している可能性があります。 システムログファイルの削除に関するアラート。 |
|
|
|
システムアップデートプログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルエクスプロイト、またはエクスプロイトチェーンの一部である可能性があります。 アラート 30分以内に作成または変更されたファイルが実行された場合(システムアップデートプログラムによって作成されたファイルを除く)。 |
|
|
|
ルート証明書ストアの変更は、不正な証明機関のインストールを示し、ネットワーク トラフィックの傍受またはコード署名検証のバイパスを可能にする可能性があります。 システム CA 証明書ストアが変更されたときにアラートを生成します。 |
|
|
|
|
|
|
|
攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として隠しファイルを作成することがよくあります。 進行中のインシデントに関連付けられたプロセスによって隠しファイルが作成された場合にアラートを生成します。 |
|
|
|
攻撃者は、システムユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システムユーティリティを変更する可能性があります。 一般的なシステムユーティリティが不正なプロセスによって変更された場合のアラート。 |
|
|
|
攻撃者または悪意のあるユーザーは、これらのプログラムを使用またはインストールして、接続されているネットワークを調査し、追加のノードが侵害される可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときのアラート。 |
|
|
|
攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワークサービスを開始する可能性があります。 アラート プログラムが新しいネットワークサービスを開始したとき、プログラムがすでに進行中のインシデントの一部である場合。 |
|
|
|
攻撃者または悪意のあるユーザーは、ネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報を取得する可能性があります。 アラート ネットワークキャプチャを許可するプログラムが実行されたとき。 |
|
|
|
ファイル転送ツールの使用は、攻撃者がツールセットを追加のホストに移動したり、リモート システムにデータを盗み出そうとしていることを示している可能性があります。 リモートファイルコピーに関連付けられたプログラムが実行されたとき、そのプログラムがすでに進行中のインシデントの一部である場合のアラート。 |
|
|
|
コマンドアンドコントロールチャンネルとクリプトコインマイナーは、通常とは異なるポートで新しいアウトバウンドネットワーク接続を作成することがよくあります。 プログラムが一般的でないポートで新しい接続を開始したときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
システムにアクセスした後、攻撃者はファイルの圧縮アーカイブを作成して、流出するデータのサイズを縮小する可能性があります。 データ圧縮プログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
プロセス インジェクション手法の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスからシークレットを読み取ったり、他のプロセスにコードを挿入したりしていることを示している場合もあります。 アラート プログラムが |
|
|
|
攻撃者は、アカウント列挙プログラムを使用して、アクセスレベルを判断し、他のユーザーが現在ノードにログインしているかどうかを確認することがよくあります。 アカウント列挙に関連付けられたプログラムが実行されたときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
ファイルシステムの探索は、目的の資格情報とデータを探している攻撃者にとって一般的な悪用後の動作です。 ファイルとディレクトリの列挙に関連付けられたプログラムが実行されたときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
攻撃者は、ローカルネットワークとルート情報を問い合わせて、横移動の前に隣接するホストとネットワークを特定できます。 ネットワーク構成列挙に関連付けられたプログラムが実行されたときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
攻撃者は、ノードの目的や、セキュリティツールや監視ツールが導入されているかどうかを特定するために、実行中のプログラムを一覧表示することがよくあります。 プロセス列挙に関連付けられたプログラムが実行されたときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
攻撃者は通常、システム列挙コマンドを実行して、Linuxカーネルとディストリビューションのバージョンと機能を特定し、多くの場合、ノードが特定の脆弱性の影響を受けているかどうかを特定します。 システム情報の列挙に関連付けられたプログラムが実行されたときに、そのプログラムが既に進行中のインシデントの一部である場合にアラートを生成します。 |
|
|
|
スケジュールされたタスクの変更は、侵害されたノードで永続性を確立するための一般的な方法です。 |
|
|
|
systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 |
|
|
|
root ユーザーへの明示的なエスカレーションにより、特権アクティビティーを特定のユーザーに関連付ける機能が低下します。 |
|
|
|
|
|
|
|
履歴ファイルの削除は珍しいことであり、通常、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されます。 コマンド行履歴ファイルが削除された場合にアラートを生成します。 |
|
|
|
攻撃者は、信頼できるアクセス方法を提供するために、ホストに新しいユーザーを追加する可能性があります。 アラート 新しいユーザーエンティティがローカルアカウント管理ファイルに追加された場合 |
|
|
|
攻撃者は、ID 関連のファイルを直接変更して、システムに新しいユーザーを追加する可能性があります。 アラート 既存のユーザー情報の更新とは関係のないプログラムによって、ユーザーのパスワードに関連するファイルが変更された場合に発生します。 |
|
|
|
新しいSSH公開鍵を追加することは、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 ユーザーの SSH |
|
|
|
新しいユーザーの追加は、侵害されたノードで永続性を確立する際の攻撃者の一般的な手順です。 アラート パッケージマネージャー以外のプログラムでID管理プログラムを実行した場合。 |
|
|
|
履歴ファイルの削除は珍しいことであり、通常、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されます。 コマンド行履歴ファイルが削除された場合にアラートを生成します。 |
|
|
|
ユーザープロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するために、永続化の方法として変更されることがよくあります。 |
|
ウイルス対策モニタリング イベント
注
これらの監査ログの response
JSON オブジェクトには、元のスキャン結果の 1 行を含む result
フィールドが常にあります。 各スキャン結果は、通常、元のスキャン出力の行ごとに 1 つずつ、複数の監査ログ・レコードによって表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。
次の clamAVScanService-dataplane
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
ウイルス対策モニタリングがスキャンを実行します。 元のスキャン出力の行ごとにログが生成されます。 |
|
システムログイベント
注
監査ログの response
JSON オブジェクトには、元のシステムログの内容を含む result
フィールドがあります。
次の syslog
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
システム ログはイベントを処理します。 |
|
プロセス・モニター・ログ・イベント
次の monit
イベントは、ワークスペース レベルでログに記録されます。
サービス |
操作 |
説明 |
リクエストパラメーター |
---|---|---|---|
|
|
モニタが動作していない。 |
|
|
|
モニタが再起動しています。 |
|
|
|
モニターが起動しました。 |
|
|
|
モニターは実行中です。 |
|
非推奨のログイベント
Databricks では、次の監査イベントが非推奨になりました。
createAlertDestination
(今createNotificationDestination
)deleteAlertDestination
(今deleteNotificationDestination
)updateAlertDestination
(今updateNotificationDestination
)
SQLエンドポイント ログ
非推奨の SQLエンドポイント API (SQLウェアハウスの以前の名前) を使用して SQLウェアハウスを作成した場合、対応する監査イベント名には Warehouse
ではなく Endpoint
という単語が含まれます。名前以外は、これらのイベントは SQLウェアハウス イベントと同じです。 これらのイベントの説明と要求パラメーターを表示するには、「 Databricks SQL イベント」で対応するウェアハウス イベントを参照してください。
SQLエンドポイント イベントは次のとおりです。
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig