監査ログのリファレンス

注：

この機能を使用するには、プレミアムプラン以上が必要です。

この記事では、使用可能な監査ログサービスとイベントの包括的なリファレンスを提供します。監査ログに記録されるイベントを理解することで、企業はアカウントにおける詳細なDatabricks使用パターンを監視できます。

アカウントの監査ログにアクセスしてクエリを実行する最も簡単な方法は、システムテーブル (パブリック プレビュー)を使用することです。

定期的なログ配信を構成する場合は、「 監査ログ配信の構成」を参照してください。

監査ログサービス

次のサービスとそのイベントは、デフォルトで監査ログに記録されます。

ワークスペースレベルのサービス

ワークスペースレベルの監査ログは、次のサービスで使用できます。

サービス名	説明
accounts	アカウント、ユーザー、グループ、IPアクセスリストに関連するイベント。
clusterPolicies	クラスターポリシーに関連するイベント。
clusters	クラスターに関連するイベント。
dashboards	AI/BI ダッシュボードの使用に関連するイベント。
databrickssql	Databricks SQLの使用に関連するイベント。
dataMonitoring	レイクハウスモニタリングに関するイベント。
dbfs	DBFSに関連するイベント。
deltaPipelines	Delta Live Tablesパイプラインに関連するイベント。
featureStore	Databricks Feature Storeに関連するイベント。
ファイルシステム	Files API に関連するイベント。
genie	サポート担当者によるワークスペース アクセスに関連するイベント。
gitCredentials	Databricks Git フォルダーの Git 資格情報に関連するイベント。 reposも参照してください。
globalInitScripts	グローバルinitスクリプトに関連するイベント。
groups	アカウントとワークスペースグループに関連するイベント。
iamRole	IAMロールの権限に関連するイベント。
取り込み	ファイルのアップロードに関連するイベント。
instancePools	プールに関連するイベント。
jobs	ジョブに関連するイベント。
marketplaceConsumer	Databricks Marketplace での消費者のアクションに関連するイベント。
marketplaceプロバイダー	Databricks Marketplace のプロバイダーアクションに関連するイベント。
mlflowAcledArtifact	ACLを使用したML Flowアーティファクトに関連するイベント。
MLflow エクスペリメント	ML Flowエクスペリメントに関連するイベント。
modelRegistry	ワークスペース モデルフィールドに関連するイベント。 Unity Catalog 内のモデルのアクティビティ ログについては、 「Unity Catalog イベント」を参照してください。
notebook	ノートブックに関連するイベント。
partnerConnect	Partner Connectに関連するイベント。
predictiveOptimization	予測的最適化に関連するイベント。
remoteHistoryService	GitHub資格情報の追加と削除に関連するイベント。
repos	Databricks Git フォルダーに関連するイベント。 gitCredentialsも参照してください。
secrets	シークレットに関連するイベント。
serverlessRealTimeInference	モデルサービングに関連するイベント。
sqlPermissions	レガシーHive metastoreコントロールに関連するイベント。
ssh	SSHアクセスに関連するイベント。
vectorSearch	Mosaic AI Vector Searchに関連するイベント。
webTerminal	Webターミナル機能に関連するイベント。
workspace	ワークスペースに関連するイベント。

アカウントレベルのサービス

アカウント レベルの監査ログは、次のサービスで利用できます。

サービス名	説明
accountBillableUsage	アカウントコンソールでの請求対象使用量アクセスに関連するアクション。
accounts	アカウントレベルのアクセスとID管理に関連するアクション。
accountsAccessControl	アカウント レベルのアクセス制御ルールに関連するアクション。
accountsManager	アカウント コンソールで実行されたアクション。
budgetPolicyCentral(バジェットポリシーセントラル)	予算ポリシーの管理に関連するアクション。
logDelivery	請求対象使用量や監査ログなどのログ配信設定。
oauth2	アカウントコンソールへのOAuth SSO認証に関連するアクション。
servicePrincipalCredentials	サービスプリンシパルの資格情報に関連するアクション。
ssoConfigBackend	アカウントのシングルサインオン設定。
unityCatalog	Unity Catalogで実行されたアクション。 これにはDelta Sharingイベントも含まれます。 Delta Sharingイベントを参照してください。

追加のセキュリティ モニタリング サービス

ワークスペースには、セキュリティ プロファイル（FedRAMP、PCI、HIPPA などの一部のセキュリティ標準に必要）または拡張セキュリティモニタリングを使用する追加のサービスと関連アクションがあります。

これらは、コンプライアンス セキュリティ プロファイルまたは拡張セキュリティ モニタリングを使用している場合にのみログに生成されるワークスペース レベルのサービスです。

サービス名	説明
capsule8-alerts-dataplane	ファイルの整合性モニタリングに関連するアクション。
clamAVScanService-データプレーン	ウイルス対策モニタリングに関するアクション。
monit	プロセス モニターに関連するアクション。
syslog	システムログに関連するアクション。

監査ログのサンプルスキーマ

Databricksにおいて、監査ログではイベントがJSON形式で出力されます。イベントはserviceNameプロパティとactionNameプロパティで識別されます。命名規則はDatabricks REST APIに従います。

次の例は、createMetastoreAssignmentイベントのものです。

  {
    "version":"2.0",
    "auditLevel":"ACCOUNT_LEVEL",
    "timestamp":1629775584891,
    "orgId":"3049056262456431186970",
    "shardName":"test-shard",
    "accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
    "sourceIPAddress":"10.2.91.100",
    "userAgent":"curl/7.64.1",
    "sessionId":"f836a03a-d360-4792-b081-baba525324312",
    "userIdentity":{
      "email":"crampton.rods@email.com",
      "subjectName":null
    },
    "serviceName":"unityCatalog",
    "actionName":"createMetastoreAssignment",
    "requestId":"ServiceMain-da7fa5878f40002",
    "requestParams":{
      "workspace_id":"30490590956351435170",
      "metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
      "default_catalog_name":"main"
    },
    "response":{
      "statusCode":200,
      "errorMessage":null,
      "result":null
    },
    "MAX_LOG_MESSAGE_LENGTH":16384
  }

監査ログのスキーマに関する考慮事項

• アクションに時間がかかる場合、リクエストとレスポンスは別々にログに記録されますが、リクエストとレスポンスのペアのrequestIdは同じものになります。

• オートスケーリングによるクラスターのサイズ変更やスケジューリングによるジョブの起動などの自動アクションは、System-Userユーザーによって実行されます。

• requestParamsフィールドは切り捨てられます。JSON表現のサイズが100 KBを超えると、値は切り捨てられ、切り捨てられたエントリに文字列... truncatedが追加されます。まれに、切り捨て後のマップが100 KBを超える場合がありますが、その場合は代わりに空の値を持つ1つのTRUNCATEDキーが設定されます。

アカウントイベント

ワークスペースレベルでログに記録されるaccountsイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
accounts	activateUser	ユーザーは、非アクティブ化された後、再アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。	targetUserName endpoint targetUserId
accounts	add	ユーザーが Databricks ワークスペースに追加されます。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	ユーザーがワークスペース レベルのグループに追加されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addX509	認証にX509証明書を使用してユーザーアカウントが追加されました。
accounts	certLogin	ユーザーは X509 認証を使用して Databricks にログインします。	user
accounts	changeDatabricksSqlAcl	ユーザーの Databricks SQL 権限が変更されます。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	ワークスペースへの権限が変更されます。	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenAcl	トークンの権限が変更されたとき。	shardName targetUserId resourceId aclPermissionSet
accounts	changePassword	ユーザーのパスワードが変更されました。	newPasswordSource targetUserId serviceSource wasPasswordChanged userId
accounts	changePasswordAcl	アカウント内のパスワード変更権限が変更されます。	shardName targetUserId resourceId aclPermissionSet
accounts	changeServicePrincipalAcls	サービスプリンシパルの権限が変更されたとき。	shardName targetServicePrincipal resourceId aclPermissionSet
accounts	createGroup	ワークスペース レベルのグループが作成されます。	endpoint targetGroupId targetGroupName
accounts	createIpAccessList	IP アクセス リストがワークスペースに追加されます。	ipAccessListId userId
accounts	deactivateUser	ワークスペース内でユーザーが非アクティブ化されます。 「ワークスペースでユーザーを非アクティブ化」を参照してください。	targetUserName endpoint targetUserId
accounts	delete	ユーザーが Databricks ワークスペースから削除されます。	targetUserId targetUserName endpoint
accounts	deleteIpAccessList	IP アクセス リストがワークスペースから削除されます。	ipAccessListId userId
accounts	garbageCollectDbToken	ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed
accounts	generateDbToken	誰かがユーザー設定からトークンを生成したとき、またはサービスがトークンを生成したとき。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	IpAccessDenied	ユーザーは拒否された IP を介してサービスに接続しようとします。	path user
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	ユーザーは JWT を使用して Databricks にログインします。	user
accounts	login	ユーザーがワークスペースにログインします。	user
accounts	logout	ユーザーがワークスペースからログアウトします。	user
accounts	mfaAddKey	新しいセキュリティキーをユーザー登録します。
accounts	mfaDeleteKey	ユーザーがセキュリティ キーを削除しました。	id
accounts	mfaLogin	ユーザーは MFA を使用して Databricks にログインします。	user
accounts	oidcTokenAuthorization	API 呼び出しが汎用 OIDC/OAuth トークンを通じて承認される場合。	user
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	現在の期限切れでないトークンの数がトークンクォータを超えたとき
accounts	removeAdmin	ユーザーのワークスペース管理者権限が取り消されます。	targetUserName endpoint targetUserId
accounts	removeGroup	グループがワークスペースから削除されます。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	ユーザーがグループから削除されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	resetPassword	ユーザーのパスワードがリセットされます。	serviceSource userId endpoint targetUserId targetUserName wasPasswordChanged newPasswordSource
accounts	revokeDbToken	ユーザーのトークンがワークスペースから削除されます。 ユーザーが Databricks アカウントから削除されることによってトリガーされる可能性があります。	userId
accounts	samlLogin	ユーザーは SAML SSO を通じて Databricks にログインします。	user
accounts	setAdmin	ユーザーにアカウント管理者権限が付与されます。	endpoint targetUserName targetUserId
accounts	tokenLogin	ユーザーはトークンを使用して Databricks にログインします。	tokenId user
accounts	updateIpAccessList	IP アクセス リストが変更されます。	ipAccessListId userId
accounts	updateUser	アカウント管理者がユーザーのアカウントを更新します。	targetUserName endpoint targetUserId
accounts	validateEmail	ユーザーがアカウント作成後に電子メールを検証するとき。	endpoint targetUserName targetUserId

クラスターイベント

ワークスペースレベルでログに記録されるclusterイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusters	changeClusterAcl	ユーザーがクラスター ACL を変更します。	shardName aclPermissionSet targetUserId resourceId
clusters	create	ユーザーがクラスターを作成します。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode runtime_engine
clusters	createResult	クラスター作成の結果。createと組み合わせて使用されます。	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	delete	クラスターが終了しました。	cluster_id
clusters	deleteResult	クラスター終了の結果。 delete.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	edit	ユーザーがクラスター設定を変更します。 これにより、クラスターのサイズまたはオートスケールの動作の変更を除くすべての変更がログに記録されます。	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode runtime_engine
clusters	permanentDelete	クラスターが UI から削除されます。	cluster_id
clusters	resize	クラスターのサイズが変更されます。 これは稼働中のクラスターに記録され、変更される唯一のプロパティはクラスターのサイズまたはオートスケールの動作のいずれかです。	cluster_id num_workers autoscale
clusters	resizeResult	クラスターのサイズ変更の結果。 resize.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	restart	ユーザーが稼働中のクラスターを再起動します。	cluster_id
clusters	restartResult	クラスターの再起動の結果。 restart.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	start	ユーザーがクラスターを開始します。	init_scripts_safe_mode cluster_id
clusters	startResult	クラスター開始からの結果。 start.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId

クラスターライブラリイベント

ワークスペースレベルでログに記録されるclusterLibrariesイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusterLibraries	installLibraries	ユーザーはクラスターにライブラリをインストールします。	cluster_id libraries
clusterLibraries	uninstallLibraries	ユーザーがクラスター上のライブラリをアンインストールします。	cluster_id libraries
clusterLibraries	installLibraryOnAllClusters	ワークスペース管理者は、すべてのクラスターにライブラリをインストールするようにスケジュールします。	user library
clusterLibraries	uninstallLibraryOnAllClusters	ワークスペース管理者は、すべてのクラスターにインストールするライブラリをリストから削除します。	user library

クラスターポリシーイベント

ワークスペースレベルでログに記録されるclusterPoliciesイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
clusterPolicies	create	ユーザーがクラスターポリシーを作成しました。	name
clusterPolicies	edit	ユーザーがクラスターポリシーを編集しました。	policy_id name
clusterPolicies	delete	ユーザーがクラスターポリシーを削除しました。	policy_id
clusterPolicies	changeClusterPolicyAcl	ワークスペース管理者がクラスターポリシーの権限を変更します。	shardName targetUserId resourceId aclPermissionSet

ダッシュボードのイベント

ワークスペースレベルでログに記録されるdashboardsイベントを次に示します。

サービス	操作	説明	リクエストパラメーター
dashboards	getDashboard	ユーザーは、UI でダッシュボードを表示するか、API を使用してダッシュボード定義を要求することによって、ダッシュボードのドラフト バージョンにアクセスします。 ダッシュボードのドラフト バージョンにアクセスできるのは、ワークスペース ユーザーのみです。	dashboard_id
dashboards	getPublishedDashboard	ユーザーは、UI で表示するか、API を使用してダッシュボード定義を要求することで、公開されたバージョンのダッシュボードにアクセスします。 ワークスペース ユーザーとアカウント ユーザーの両方のアクティビティが含まれます。 スケジュールされた電子メールを使用したダッシュボードの PDF スナップショットの受信は除外されます。	dashboard_id credentials_embedded
dashboards	executeQuery	ユーザーがダッシュボードからクエリを実行します。	dashboard_id statement_id
dashboards	cancelQuery	ユーザーがダッシュボードからクエリをキャンセルしました。	dashboard_id statement_id
dashboards	getQueryResult	ユーザーは、ダッシュボードからクエリの結果を受け取ります。	dashboard_id statement_id
dashboards	sendDashboardSnapshot	ダッシュボードの PDF スナップショットは、スケジュールされた電子メールで送信されます。 要求パラメーターの値は、受信者のタイプによって異なります。 Databricks 通知先の場合、 destination_id のみが表示されます。 Databricksユーザーの場合は、契約者のユーザーIDとEメールアドレスが表示されます。受信者がEメールアドレスの場合は、Eメールアドレスのみが表示されます。	dashboard_id subscriber_destination_id subscriber_user_details: { user_id, email_address }
dashboards	getDashboardDetails	ユーザーは、データセットやウィジェットなどのドラフト ダッシュボードの詳細にアクセスします。 getDashboardDetailsは、ユーザーが UI を使用してドラフト ダッシュボードを表示するか、API を使用してダッシュボード定義を要求するときに常に生成されます。	dashboard_id
dashboards	createDashboard	ユーザーは、UI または API を使用して新しい AI/BI ダッシュボードを作成します。	dashboard_id
dashboards	updateDashboard	ユーザーは UI または API を使用して AI/BI ダッシュボードを更新します。	dashboard_id
dashboards	cloneDashboard	ユーザーが AI/BI ダッシュボードを複製します。	source_dashboard_id new_dashboard_id
dashboards	publishDashboard	ユーザーは、UI または API を使用して、埋め込み資格情報の有無にかかわらず AI/BI ダッシュボードを公開します。	dashboard_id credentials_embedded warehouse_id
dashboards	unpublishDashboard	ユーザーは、UI または API を使用して、公開された AI/BI ダッシュボードを非公開にします。	dashboard_id
dashboards	trashDashboard	ユーザーは、UI または API を使用して AI/BI ダッシュボードをゴミ箱に移動します。	dashboard_id
dashboards	restoreDashboard	ユーザーがゴミ箱から AI/BI ダッシュボードを復元します。	dashboard_id
dashboards	migrateDashboard	ユーザーは DBSQL ダッシュボードを AI/BI ダッシュボードに移行します。	source_dashboard_id new_dashboard_id
dashboards	createSchedule	ユーザーが電子メール購読スケジュールを作成します。	dashboard_id schedule_id
dashboards	updateSchedule	ユーザーが AI/BI ダッシュボードのスケジュールを更新します。	dashboard_id schedule_id
dashboards	deleteSchedule	ユーザーが AI/BI ダッシュボードのスケジュールを削除します。	dashboard_id schedule_id
dashboards	createSubscription	ユーザーは、電子メールの送信先をAI/BIダッシュボード スケジュールに登録します。	dashboard_id schedule_id schedule
dashboards	deleteSubscription	ユーザーがAI/BIダッシュボード スケジュールから電子メールの宛先を削除します。	dashboard_id schedule_id

Databricks SQLイベント

ワークスペースレベルでログに記録されるdatabrickssqlイベントを次に示します。

注：

従来の SQL サーバAPIを使用して SQL ウェアハウスを管理する場合、SQL ウェアハウス監査イベントには異なるアクション名が付けられます。 SQL ログを参照してください。

サービス	操作	説明	リクエストパラメーター
databrickssql	addDashboardWidget	ウィジェットがダッシュボードに追加されます。	dashboardId widgetId
databrickssql	cancelQueryExecution	クエリの実行は SQL エディター UI からキャンセルされます。 これには、クエリー履歴 UI またはDatabricks SQL実行APIから発生したキャンセルは含まれません。	queryExecutionId
databrickssql	changeWarehouseAcls	ウェアハウス マネージャーは、SQL ウェアハウスの権限を更新します。	aclPermissionSet resourceId shardName targetUserId
databrickssql	changePermissions	ユーザーがオブジェクトの権限を更新します。	granteeAndPermission objectId objectType
databrickssql	cloneDashboard	ユーザーがダッシュボードを複製します。	dashboardId
databrickssql	commandSubmit	詳細な監査ログのみ。 リクエストの送信元に関係なく、コマンドが SQL ウェアハウスに送信されたときに生成されます。	warehouseId commandId validation commandText
databrickssql	commandFinish	詳細な監査ログのみ。 キャンセル要求の発生元に関係なく、SQL ウェアハウスのコマンドが完了またはキャンセルされたときに生成されます。	warehouseId commandId
databrickssql	createAlert	ユーザーがアラートを作成します。	alertId
databrickssql	createNotificationDestination	ワークスペース管理者が通知先を作成します。	notificationDestinationId notificationDestinationType
databrickssql	createDashboard	ユーザーがダッシュボードを作成します。	dashboardId
databrickssql	createDataPreviewDashboard	ユーザーがデータ プレビュー ダッシュボードを作成します。	dashboardId
databrickssql	createWarehouse	クラスター作成権限を持つユーザーが SQL ウェアハウスを作成します。	auto_resume auto_stop_mins channel cluster_size conf_pairs custom_cluster_confs enable_databricks_compute enable_photon enable_serverless_compute instance_profile_arn max_num_clusters min_num_clusters name size spot_instance_policy tags test_overrides
databrickssql	createQuery	ユーザーが新しいクエリを作成します。	queryId
databrickssql	createQueryDraft	ユーザーがクエリの下書きを作成します。	queryId
databrickssql	createQuerySnippet	ユーザーがクエリ スニペットを作成します。	querySnippetId
databrickssql	createSampleDashboard	ユーザーがサンプル ダッシュボードを作成します。	sampleDashboardId
databrickssql	createVisualization	ユーザーは SQL エディターを使用して視覚化を生成します。 SQL ウェアハウスを利用する、デフォルト結果テーブルとビジュアル化を除外します。	queryId visualizationId
databrickssql	deleteAlert	ユーザーは、アラート インターフェイスまたは API を通じてアラートを削除します。 ファイル ブラウザーの UI からの削除を除外します。	alertId
databrickssql	deleteNotificationDestination	ワークスペース管理者が通知先を削除します。	notificationDestinationId
databrickssql	deleteDashboard	ユーザーは、ダッシュボード インターフェースから、または API を通じてダッシュボードを削除します。 ファイルブラウザUIによる削除を除外します。	dashboardId
databrickssql	deleteDashboardWidget	ユーザーがダッシュボードウィジェットを削除します。	widgetId
databrickssql	deleteWarehouse	ウェアハウス管理者が SQL ウェアハウスを削除します。	id
databrickssql	deleteQuery	ユーザーは、クエリ インターフェイスまたは API を通じてクエリを削除します。 ファイルブラウザUIによる削除を除外します。	queryId
databrickssql	deleteQueryDraft	ユーザーがクエリの下書きを削除します。	queryId
databrickssql	deleteQuerySnippet	ユーザーがクエリ スニペットを削除します。	querySnippetId
databrickssql	deleteVisualization	ユーザーは、SQL エディターのクエリから視覚化を削除します。	visualizationId
databrickssql	downloadQueryResult	ユーザーは SQL エディターからクエリ結果をダウンロードします。 ダッシュボードからのダウンロードを除外します。	fileType queryId queryResultId credentialsEmbedded credentialsEmbeddedId
databrickssql	editWarehouse	ウェアハウス マネージャーは SQL ウェアハウスを編集します。	auto_stop_mins channel cluster_size confs enable_photon enable_serverless_compute id instance_profile_arn max_num_clusters min_num_clusters name spot_instance_policy tags
databrickssql	executeAdhocQuery	次のいずれかによって生成されます。 ユーザーがSQLエディタでクエリドラフトを実行する クエリは、視覚化集計から実行されます ユーザーがダッシュボードを読み込み、基になるクエリを実行する	dataSourceId
databrickssql	executeSavedQuery	ユーザーが保存されたクエリを実行します。	queryId
databrickssql	executeWidgetQuery	ダッシュボード パネルを更新するようなクエリを実行するイベントによって生成されます。 適用可能なイベントの例としては、次のようなものがあります。 単一パネルの更新 ダッシュボード全体の更新 スケジュールされたダッシュボードの実行 または 64,000 行を超えるフィルターの変更	widgetId
databrickssql	favoriteDashboard	ユーザーがダッシュボードをお気に入りに登録します。	dashboardId
databrickssql	favoriteQuery	ユーザーがクエリをお気に入りに登録します。	queryId
databrickssql	forkQuery	ユーザーがクエリを複製します。	originalQueryId queryId
databrickssql	listQueries	ユーザーがクエリ一覧ページを開くか、リスト クエリ API を呼び出します。	filter_by include_metrics max_results page_token
databrickssql	moveAlertToTrash	ユーザーがアラートをゴミ箱に移動します。	alertId
databrickssql	moveDashboardToTrash	ユーザーがダッシュボードをゴミ箱に移動します。	dashboardId
databrickssql	moveQueryToTrash	ユーザーがクエリをゴミ箱に移動します。	queryId
databrickssql	restoreAlert	ユーザーがごみ箱からアラートを復元します。	alertId
databrickssql	restoreDashboard	ユーザーがごみ箱からダッシュボードを復元します。	dashboardId
databrickssql	restoreQuery	ユーザーがごみ箱からクエリを復元します。	queryId
databrickssql	setWarehouseConfig	ウェアハウス マネージャーは、SQL ウェアハウスの構成を設定します。	data_access_config enable_serverless_compute instance_profile_arn security_policy serverless_agreement sql_configuration_parameters try_create_databricks_managed_starter_warehouse
databrickssql	snapshotDashboard	ユーザーがダッシュボードのスナップショットを要求します。 スケジュールされたダッシュボードのスナップショットが含まれます。	dashboardId
databrickssql	startWarehouse	SQLウェアハウスを始めました。	id
databrickssql	stopWarehouse	ウェアハウスマネージャはSQLウェアハウスを停止します。 自動停止したウェアハウスは除きます。	id
databrickssql	transferObjectOwnership	ワークスペース管理者は、オブジェクト所有権の転送 API を通じて、ダッシュボード、クエリ、またはアラートの所有権をアクティブ ユーザーに譲渡します。 UI または更新 APIs を介して行われた所有権の移行は、この監査ログ イベントではキャプチャされません。	newOwner objectId objectType
databrickssql	unfavoriteDashboard	ユーザーがダッシュボードをお気に入りから削除します。	dashboardId
databrickssql	unfavoriteQuery	ユーザーがお気に入りからクエリを削除します。	queryId
databrickssql	updateAlert	ユーザーがアラートを更新します。 ownerUserName は、アラートの所有権が API を使用して転送された場合に入力されます。	alertId queryId ownerUserName
databrickssql	updateNotificationDestination	ワークスペース管理者が通知先を更新します。	notificationDestinationId
databrickssql	updateDashboardWidget	ユーザーがダッシュボードウィジェットを更新します。 軸スケールの変更を除外します。 適用可能な更新プログラムの例は次のとおりです。 ウィジェットのサイズや配置を変更する ウィジェットの追加または削除	widgetId
databrickssql	updateDashboard	ユーザーがダッシュボードのプロパティを更新します。 スケジュールとサブスクリプションの変更は除外されます。 適用可能な更新プログラムの例は次のとおりです。 ダッシュボード名の変更 SQLウェアハウスへの変更 実行設定を変更する	dashboardId
databrickssql	updateOrganizationSetting	ワークスペース管理者は、ワークスペースの SQL 設定を更新します。	has_configured_data_access has_explored_sql_warehouses has_granted_permissions
databrickssql	updateQuery	ユーザーがクエリを更新します。 ownerUserName は、クエリの所有権が API を使用して転送された場合に入力されます。	queryId ownerUserName
databrickssql	updateQueryDraft	ユーザーがクエリの下書きを更新します。	queryId
databrickssql	updateQuerySnippet	ユーザーがクエリ スニペットを更新します。	querySnippetId
databrickssql	updateVisualization	ユーザーは、SQL エディターまたはダッシュボードのいずれかから視覚化を更新します。	visualizationId

データモニタリングイベント

次のdataMonitoringイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
dataMonitoring	CreateMonitor	ユーザーがモニターを作成します。	data_classification_config full_table_name_arg assets_dir schedule output_schema_name notifications inference_log
dataMonitoring	UpdateMonitor	ユーザーがモニターを更新します。	data_classification_config table_name full_table_name_arg drift_metrics_table_name dashboard_id custom_metrics assets_dir monitor_version profile_metrics_table_name baseline_table_name status output_schema_name inference_log slicing_exprs
dataMonitoring	DeleteMonitor	ユーザーがモニターを削除します。	full_table_name_arg
dataMonitoring	RunRefresh	モニターは、スケジュールまたは手動で更新されます。	full_table_name_arg

DBFSイベント

次の表には、ワークスペース レベルで記録されたdbfsイベントが含まれています。

DBFS イベントには、API 呼び出しと操作イベントの 2 種類があります。

DBFS API イベント

次の DBFS 監査イベントは、 DBFS REST APIを通じて書き込まれた場合にのみログに記録されます。

サービス	操作	説明	リクエストパラメーター
dbfs	addBlock	ユーザーはストリームにデータ ブロックを追加します。 これは、 dbfs/create と組み合わせて使用され、データをDBFSにストリームします。	handle data_length
dbfs	create	ユーザーはストリームを開いて、ファイルを DBF に書き込みます。	path bufferSize overwrite
dbfs	delete	ユーザーが DBF からファイルまたはディレクトリを削除します。	recursive path
dbfs	mkdirs	ユーザーが新しい DBFS ディレクトリを作成します。	path
dbfs	move	ユーザーが DBF 内の 1 つの場所から別の場所にファイルを移動します。	dst source_path src destination_path
dbfs	put	ユーザーは、マルチパート フォーム ポストを使用して DBF にファイルをアップロードします。	path overwrite

DBFS運用イベント

コンピュート プレーンでは、次のDBFS監査イベントが発生します。

サービス	操作	説明	リクエストパラメーター
dbfs	mount	ユーザーは特定の DBFS の場所にマウント ポイントを作成します。	mountPoint owner
dbfs	unmount	ユーザーは特定の DBFS の場所にあるマウント ポイントを削除します。	mountPoint

Deltaパイプラインイベント

サービス	操作	説明	リクエストパラメーター
deltaPipelines	changePipelineAcls	ユーザーがパイプラインの権限を変更します。	shardId targetUserId resourceId aclPermissionSet
deltaPipelines	create	ユーザーが Delta Live Tables パイプラインを作成します。	allow_duplicate_names clusters configuration continuous development dry_run id libraries name storage target channel edition photon
deltaPipelines	delete	ユーザーが Delta Live Tables パイプラインを削除します。	pipeline_id
deltaPipelines	edit	ユーザーが Delta Live Tables パイプラインを編集します。	allow_duplicate_names clusters configuration continuous development expected_last_modified id libraries name pipeline_id storage target channel edition photon
deltaPipelines	startUpdate	ユーザーが Delta Live Tables パイプラインを再起動します。	cause full_refresh job_task pipeline_id
deltaPipelines	stop	ユーザーが Delta Live Tables パイプラインを停止します。	pipeline_id

Feature Storeイベント

次のfeatureStoreイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
featureStore	addConsumer	コンシューマーがFeature Storeに追加されます。	features job_run notebook
featureStore	addDataSources	データソースが特徴量テーブルに追加されます。	feature_table paths, tables
featureStore	addProducer	特徴量テーブルにプロデューサーが追加されます。	feature_table job_run notebook
featureStore	changeFeatureTableAcl	権限は特性テーブルで変更されます。	aclPermissionSet resourceId shardName targetUserId
featureStore	createFeatureTable	特徴量テーブルが作成されます。	description name partition_keys primary_keys timestamp_keys
featureStore	createFeatures	特徴は特徴量テーブルに作成されます。	feature_table features
featureStore	deleteFeatureTable	特徴量テーブルが削除されます。	name
featureStore	deleteTags	タグは特徴量テーブルから削除されます。	feature_table_id keys
featureStore	getConsumers	ユーザーは、特徴量テーブル内の消費者を取得するために呼び出しを行います。	feature_table
featureStore	getFeatureTable	ユーザーは特徴量テーブルを取得するために呼び出しを行います。	name
featureStore	getFeatureTablesById	ユーザーは特徴量テーブル ID を取得するために呼び出しを行います。	ids
featureStore	getFeatures	ユーザーが呼び出しを行って機能を取得します。	feature_table max_results
featureStore	getModelServingMetadata	ユーザーはモデルサービング メタデータを取得するために呼び出しを行います。	feature_table_features
featureStore	getOnlineStore	ユーザーはオンラインストアの詳細を取得するために電話をかけます。	cloud feature_table online_table store_type
featureStore	getTags	ユーザーは、特徴量テーブルのタグを取得するために呼び出しを行います。	feature_table_id
featureStore	publishFeatureTable	特徴量表が公開されました。	cloud feature_table host online_table port read_secret_prefix store_type write_secret_prefix
featureStore	searchFeatureTables	ユーザーが特徴量表を検索します。	max_results page_token text
featureStore	setTags	タグが特徴量表に追加されます。	feature_table_id tags
featureStore	updateFeatureTable	特徴量表が更新されました。	description name

ファイルAPIイベント

次のfilesystemイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
filesystem	filesGet	ユーザーがファイルをダウンロードします。	path transferredSize
filesystem	filesPut	ユーザーがファイルをアップロードします。	path receivedSize
filesystem	filesDelete	ユーザーがファイルを削除します。	path
filesystem	filesHead	ユーザーはファイルに関する情報を取得します。	path

Genieイベント

次のgenieイベントがワークスペース レベルで記録されます。

注：

このサービスは、AI/BI Genieスペースとは無関係です。

サービス	操作	説明	リクエストパラメーター
genie	databricksAccess	Databricks の担当者は顧客環境にアクセスする権限を持っています。	duration approver reason authType user

Git認証情報イベント

次のgitCredentialsイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
gitCredentials	getGitCredential	ユーザーが git 資格情報を取得します。	id
gitCredentials	listGitCredentials	ユーザーがすべての git 資格情報を一覧表示します	なし
gitCredentials	deleteGitCredential	ユーザーが git 資格情報を削除します。	id
gitCredentials	updateGitCredential	ユーザーが git 資格情報を更新します。	id git_provider git_username
gitCredentials	createGitCredential	ユーザーが git 資格情報を作成します。	git_provider git_username

グローバルinitスクリプトイベント

次のglobalInitScriptsイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
globalInitScripts	create	ワークスペース管理者はグローバル初期化スクリプトを作成します。	name position script-SHA256 enabled
globalInitScripts	update	ワークスペース管理者がグローバル初期化スクリプトを更新します。	script_id name position script-SHA256 enabled
globalInitScripts	delete	ワークスペース管理者がグローバル初期化スクリプトを削除します。	script_id

グループイベント

次のgroupsイベントがワークスペース レベルで記録されます。 これらのアクションは、従来の ACL グループに関連しています。 アカウントおよびワークスペース レベルのグループに関連するアクションについては、「アカウント イベント」および「アカウント レベルのアカウント イベント」を参照してください。

サービス	操作	説明	リクエストパラメーター
groups	addPrincipalToGroup	管理者はユーザーをグループに追加します。	user_name parent_name
groups	createGroup	管理者がグループを作成します。	group_name
groups	getGroupMembers	管理者はグループのメンバーを表示します。	group_name
groups	getGroups	管理者はグループのリストを表示します	なし
groups	getInheritedGroups	管理者は継承されたグループを閲覧する	なし
groups	removeGroup	管理者がグループを削除します。	group_name

IAMロールイベント

次のiamRoleイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
iamRole	changeIamRoleAcl	ワークスペース管理者が IAM ロールの権限を変更します。	targetUserId shardName resourceId aclPermissionSet

インジェストイベント

次のingestionイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
ingestion	proxyFileUpload	ユーザーが Databricks ワークスペースにファイルをアップロードします。	x-databricks-content-length-0 x-databricks-total-files

インスタンスプールイベント

次のinstancePoolsイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
instancePools	changeInstancePoolAcl	ユーザーがインスタンス プールの権限を変更します。	shardName resourceId targetUserId aclPermissionSet
instancePools	create	ユーザーがインスタンス プールを作成します。	enable_elastic_disk preloaded_spark_versions idle_instance_autotermination_minutes instance_pool_name node_type_id custom_tags max_capacity min_idle_instances aws_attributes
instancePools	delete	ユーザーがインスタンス プールを削除します。	instance_pool_id
instancePools	edit	ユーザーがインスタンス プールを編集します。	instance_pool_name idle_instance_autotermination_minutes min_idle_instances preloaded_spark_versions max_capacity enable_elastic_disk node_type_id instance_pool_id aws_attributes

ジョブイベント

次のjobsイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
jobs	cancel	ジョブの実行がキャンセルされました。	run_id
jobs	cancelAllRuns	ユーザーがジョブのすべての実行をキャンセルします。	job_id
jobs	changeJobAcl	ユーザーがジョブの権限を更新します。	shardName aclPermissionSet resourceId targetUserId
jobs	create	ユーザーがジョブを作成します。	spark_jar_task email_notifications notebook_task spark_submit_task timeout_seconds libraries name spark_python_task job_type new_cluster existing_cluster_id max_retries schedule run_as
jobs	delete	ユーザーがジョブを削除します。	job_id
jobs	deleteRun	ユーザーがジョブ実行を削除します。	run_id
jobs	getRunOutput	ユーザーは API 呼び出しを行って実行出力を取得します。	run_id is_from_webapp
jobs	repairRun	ユーザーがジョブ実行を修復します。	run_id latest_repair_id rerun_tasks
jobs	reset	ジョブがリセットされます。	job_id new_settings
jobs	resetJobAcl	ユーザーがジョブの権限の変更を要求します。	grants job_id
jobs	runCommand	詳細な監査ログが有効になっている場合に使用できます。 ノートブック内のコマンドがジョブ実行によって実行された後に発行されます。 コマンドはノートブックのセルに対応します。	jobId runId notebookId executionTime status commandId commandText
jobs	runFailed	ジョブの実行が失敗しました。	jobClusterType jobTriggerType jobId jobTaskType runId jobTerminalState idInJob orgId runCreatorUserName
jobs	runNow	ユーザーがオンデマンド ジョブの実行をトリガーします。	notebook_params job_id jar_params workflow_context
jobs	runStart	検証とクラスターの作成後にジョブの実行が開始されたときに発行されます。 このイベントから発行されるリクエストは、ジョブ内のタスクのタイプによって異なります。 リストされているものに加えて、次のものも含めることができます。 dashboardId (SQL ダッシュボード タスクの場合) filePath (SQL ファイル タスクの場合) notebookPath （ノートブックタスク用） mainClassName (Spark JAR タスクの場合) pythonFile (Spark JAR タスクの場合) projectDirectory (dbt タスクの場合) commands (dbt タスクの場合) packageName ( Python wheel タスクの場合) entryPoint ( Python wheel タスクの場合) pipelineId (パイプラインタスクの場合) queryIds (SQL クエリ タスクの場合) alertId ( SQLアラートタスクの場合)	taskDependencies multitaskParentRunId orgId idInJob jobId jobTerminalState taskKey jobTriggerType jobTaskType runId runCreatorUserName
jobs	runSucceeded	ジョブの実行は成功しました。	idInJob jobId jobTriggerType orgId runId jobClusterType jobTaskType jobTerminalState runCreatorUserName
jobs	runTriggered	ジョブ スケジュールは、スケジュールまたはトリガーに従って自動的にトリガーされます。	jobId jobTriggeredType runId
jobs	sendRunWebhook	ジョブが開始、完了、または失敗したときに、Webhook が送信されます。	orgId jobId jobWebhookId jobWebhookEvent runId
jobs	setTaskValue	ユーザーがタスクの値を設定します。	run_id key
jobs	submitRun	ユーザーは API 経由で 1 回限りの実行を送信します。	shell_command_task run_name spark_python_task existing_cluster_id notebook_task timeout_seconds libraries new_cluster spark_jar_task
jobs	update	ユーザーがジョブの設定を編集します。	job_id fields_to_remove new_settings is_from_dlt

Marketplaceコンシューマーイベント

次のmarketplaceConsumerイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
marketplaceConsumer	getDataProduct	ユーザーは Databricks Marketplace を通じてデータ製品にアクセスします。	listing_id listing_name share_name catalog_name request_context: データ製品にアクセスしたアカウントとメタストアに関する情報の配列
marketplaceConsumer	requestDataProduct	ユーザーは、プロバイダーの承認を必要とするデータ製品へのアクセスを要求します。	listing_id listing_name catalog_name request_context: データ製品へのアクセスを要求するアカウントとメタストアに関する情報の配列

Marketplaceプロバイダーイベント

次のmarketplaceProviderイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
marketplaceProvider	createListing	メタストア管理者は、プロバイダー プロファイルにリストを作成します。	listing: リスティングの詳細の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateListing	メタストア管理者は、プロバイダー プロファイルのリストを更新します。	id listing: リスティングの詳細の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteListing	メタストア管理者は、プロバイダー プロファイルの一覧を削除します。	id request_context: プロバイダーのアカウントとメタストアに関する詳細の配列
marketplaceProvider	updateConsumerRequestStatus	メタストア管理者はデータ製品リクエストを承認または拒否します。	listing_id request_id status reason share: シェアに関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	createProviderProfile	メタストア管理者は、プロバイダー プロファイルを作成します。	provider: プロバイダーに関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	updateProviderProfile	メタストア管理者は、プロバイダー プロファイルを更新します。	id provider: プロバイダーに関する情報の配列 request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	deleteProviderProfile	メタストア管理者は、プロバイダー プロファイルを削除します。	id request_context: プロバイダーのアカウントとメタストアに関する情報の配列
marketplaceProvider	uploadFile	プロバイダーは、プロバイダープロファイルにファイルをアップロードします。	request_context: プロバイダーのアカウントとメタストアに関する情報の配列 marketplace_file_type display_name mime_type file_parent: ファイルの親の詳細の配列
marketplaceProvider	deleteFile	プロバイダーは、プロバイダー プロファイルからファイルを削除します。	file_id request_context: プロバイダーのアカウントとメタストアに関する情報の配列

ACLを伴うMLflowアーティファクトイベント

次のmlflowAcledArtifactイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
mlflowAcledArtifact	readArtifact	ユーザーがアーティファクトを読み取るために呼び出しを行います。	artifactLocation experimentId runId
mlflowAcledArtifact	writeArtifact	ユーザーがアーティファクトに書き込むための呼び出しを行います。	artifactLocation experimentId runId

MLflowエクスペリメントイベント

次のmlflowExperimentイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
mlflowExperiment	createMlflowExperiment	ユーザーがMLflow拡張機能を作成します。	experimentId path experimentName
mlflowExperiment	deleteMlflowExperiment	ユーザーがMLflow拡張機能を削除します。	experimentId path experimentName
mlflowExperiment	moveMlflowExperiment	ユーザーがMLflow拡張機能を移動します。	newPath experimentId oldPath
mlflowExperiment	restoreMlflowExperiment	ユーザーがMLflow拡張機能を復元します。	experimentId path experimentName
mlflowExperiment	renameMlflowExperiment	ユーザーがMLflow拡張機能の名前を変更します。	oldName newName experimentId parentPath

MLflowモデルレジストリイベント

次のmlflowModelRegistryイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
modelRegistry	approveTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を承認します。	name version stage archive_existing_versions
modelRegistry	changeRegisteredModelAcl	ユーザーが登録済みモデルの権限を更新します。	registeredModelId userId
modelRegistry	createComment	ユーザーがモデル バージョンにコメントを投稿します。	name version
modelRegistry	createModelVersion	ユーザーがモデル バージョンを作成します。	name source run_id tags run_link
modelRegistry	createRegisteredModel	ユーザーが新しい登録済みモデルを作成する	name tags
modelRegistry	createRegistryWebhook	ユーザーはModel Registryイベントの Webhook を作成します。	orgId registeredModelId events description status creatorId httpUrlSpec
modelRegistry	createTransitionRequest	ユーザーがモデル バージョン ステージの移行リクエストを作成します。	name version stage
modelRegistry	deleteComment	ユーザーがモデル バージョンのコメントを削除します。	id
modelRegistry	deleteModelVersion	ユーザーがモデル バージョンを削除します。	name version
modelRegistry	deleteModelVersionTag	ユーザーがモデル バージョン タグを削除します。	name version key
modelRegistry	deleteRegisteredModel	ユーザーが登録済みのモデルを削除した場合	name
modelRegistry	deleteRegisteredModelTag	ユーザーが登録済みのモデルのタグを削除します。	name key
modelRegistry	deleteRegistryWebhook	ユーザーがModel Registry Webhook を削除します。	orgId webhookId
modelRegistry	deleteTransitionRequest	ユーザーがモデル バージョン ステージの移行要求をキャンセルします。	name version stage creator
modelRegistry	finishCreateModelVersionAsync	モデルの非同期コピーが完了しました。	name version
modelRegistry	generateBatchInferenceNotebook	バッチ推論ノートブックが自動生成されます。	userId orgId modelName inputTableOpt outputTablePathOpt stageOrVersion modelVersionEntityOpt notebookPath
modelRegistry	generateDltInferenceNotebook	Delta Live Tables パイプラインの推論ノートブックが自動生成されます。	userId orgId modelName inputTable outputTable stageOrVersion notebookPath
modelRegistry	getModelVersionDownloadUri	ユーザーは、モデル バージョンをダウンロードするための URI を取得します。	name version
modelRegistry	getModelVersionSignedDownloadUri	ユーザーは、署名されたモデル バージョンをダウンロードするための URI を取得します。	name version path
modelRegistry	listModelArtifacts	ユーザーは、モデルの成果物を一覧表示する呼び出しを行います。	name version path page_token
modelRegistry	listRegistryWebhooks	ユーザーは、モデル内のすべてのレジストリ Webhook を一覧表示する呼び出しを行います。	orgId registeredModelId
modelRegistry	rejectTransitionRequest	ユーザーがモデル バージョン ステージの移行要求を拒否します。	name version stage
modelRegistry	renameRegisteredModel	ユーザーが登録済みモデルの名前を変更する	name new_name
modelRegistry	setEmailSubscriptionStatus	ユーザーが登録モデルのEメール購読ステータスを更新する
modelRegistry	setModelVersionTag	ユーザーがモデル バージョン タグを設定します。	name version key value
modelRegistry	setRegisteredModelTag	ユーザーがモデル バージョン タグを設定します。	name key value
modelRegistry	setUserLevelEmailSubscriptionStatus	ユーザーは、レジストリ全体の電子メール通知ステータスを更新します。	orgId userId subscriptionStatus
modelRegistry	testRegistryWebhook	ユーザーがModel Registry Webhook をテストします。	orgId webhookId
modelRegistry	transitionModelVersionStage	ユーザーは、モデル バージョンのすべてのオープン ステージの移行リクエストのリストを取得します。	name version stage archive_existing_versions
modelRegistry	triggerRegistryWebhook	Model Registry Webhook はイベントによってトリガーされます。	orgId registeredModelId events status
modelRegistry	updateComment	ユーザーがモデル バージョンのコメントに編集を投稿します。	id
modelRegistry	updateRegistryWebhook	ユーザーがModel Registry Webhook を更新します。	orgId webhookId

モデルサービングイベント

次のserverlessRealTimeInferenceイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
serverlessRealTimeInference	changeInferenceEndpointAcl	ユーザーが推論エンドポイントのアクセス許可を更新します。	shardName targetUserId resourceId aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	ユーザーはモデルサービングエンドポイントを作成します。	name config
serverlessRealTimeInference	deleteServingEndpoint	ユーザーがモデルサーバーエンドポイントを削除します。	name
serverlessRealTimeInference	disable	ユーザーは登録されたモデルのモデルサービングを無効にします。	registered_mode_name
serverlessRealTimeInference	enable	ユーザーは登録したモデルに対してモデルサービングを有効にします。	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	ユーザーは、クエリ スキーマのプレビューを取得するための呼び出しを行います。	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	ユーザーがモデルサーバーエンドポイントを更新します。	name served_models traffic_config
serverlessRealTimeInference	updateInferenceEndpointRateLimits	ユーザーが推論エンドポイントのレート制限を更新します。 レート制限は、基盤モデルAPIトークン単位の従量課金と外部モデル エンドポイントにのみ適用されます。	name rate_limits

ノートブックイベント

次のnotebookイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
notebook	attachNotebook	ノートブックはクラスターに接続されます。	path clusterId notebookId
notebook	cloneNotebook	ユーザーがノートブックを複製します。	notebookId path clonedNotebookId destinationPath
notebook	createNotebook	ノートブックが作成されます。	notebookId path
notebook	deleteFolder	ノートブックフォルダが削除されます。	path
notebook	deleteNotebook	ノートブックが削除されます。	notebookId notebookName path
notebook	detachNotebook	ノートブックがクラスターから切り離されます。	notebookId clusterId path
notebook	downloadLargeResults	ユーザーがダウンロードしたクエリ結果は大きすぎてノートブックに表示できません。	notebookId notebookFullPath
notebook	downloadPreviewResults	ユーザーがクエリ結果をダウンロードします。	notebookId notebookFullPath
notebook	importNotebook	ユーザーがノートブックをインポートします。	path
notebook	moveFolder	ノートブック フォルダーが、ある場所から別の場所に移動されます。	oldPath newPath folderId
notebook	moveNotebook	ノートブックは、ある場所から別の場所に移動されます。	newPath oldPath notebookId
notebook	renameNotebook	ノートブックの名前が変更されます。	newName oldName parentPath notebookId
notebook	restoreFolder	削除したフォルダが復元されます。	path
notebook	restoreNotebook	削除されたノートブックが復元されます。	path notebookId notebookName
notebook	runCommand	詳細な監査ログが有効になっている場合に使用できます。 Databricks がノートブックでコマンドを実行した後に出力されます。 コマンドはノートブックのセルに対応します。 executionTime は秒単位で測定されます。	notebookId executionTime status commandId commandText commandLanguage
notebook	takeNotebookSnapshot	ノートブックのスナップショットは、ジョブ サービスまたは mlflow のいずれかが実行されたときに作成されます。	path

Partner Connectイベント

次のpartnerHubイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
partnerHub	createOrReusePartnerConnection	ワークスペース管理者はパートナー ソリューションへの接続を設定します。	partner_name
partnerHub	deletePartnerConnection	ワークスペース管理者がパートナー接続を削除します。	partner_name
partnerHub	downloadPartnerConnectionFile	ワークスペース管理者がパートナー接続ファイルをダウンロードします。	partner_name
partnerHub	setupResourcesForPartnerConnection	ワークスペース管理者は、パートナー接続用のリソースを設定します。	partner_name

予測的最適化イベント

次のpredictiveOptimizationイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
predictiveOptimization	PutMetrics	予測的最適化によってテーブルとワークロード メトリックが更新されたときに記録され、サービスが最適化操作をよりインテリジェントにスケジュールできるようになります。	table_metrics_list start_time end_time
predictiveOptimization	UpdatePredictiveOptimization	アカウント管理者は、メタストアの予測的最適化を有効または無効にします。	metastore_id enable

リモート履歴サービスイベント

次のremoteHistoryServiceイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
remoteHistoryService	addUserGitHubCredentials	ユーザーが Github 資格情報を追加する	なし
remoteHistoryService	deleteUserGitHubCredentials	ユーザーが Github 資格情報を削除する	なし
remoteHistoryService	updateUserGitHubCredentials	ユーザーが Github の資格情報を更新する	なし

Gitフォルダイベント

次のreposイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
repos	checkoutBranch	ユーザーがリポジトリ上のブランチをチェックアウトします。	id branch
repos	commitAndPush	ユーザーがコミットしてリポジトリにプッシュします。	id message files checkSensitiveToken
repos	createRepo	ユーザーがワークスペースに Repo ジトリを作成する	url provider path
repos	deleteRepo	ユーザーがリポジトリを削除します。	id
repos	discard	ユーザーがリポジトリへのコミットを破棄します。	id file_paths
repos	getRepo	ユーザーは、単一のリポジトリに関する情報を取得するために呼び出しを行います。	id
repos	listRepos	ユーザーは、管理アクセス許可を持つすべてのリポジトリを取得するために呼び出しを行います。	path_prefix next_page_token
repos	pull	ユーザーはリポジトリから最新のコミットをプルします。	id
repos	updateRepo	ユーザーは、リポジトリを別のブランチまたはタグに更新するか、同じブランチの最新のコミットに更新します。	id branch tag git_url git_provider

シークレットイベント

次のsecretsイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
secrets	createScope	ユーザーがシークレットスコープを作成します。	scope initial_manage_principal scope_backend_type
secrets	deleteAcl	ユーザーはシークレットスコープの ACL を削除します。	scope principal
secrets	deleteScope	ユーザーがシークレットスコープを削除します。	scope
secrets	deleteSecret	ユーザーがスコープからシークレットを削除します。	key scope
secrets	getAcl	ユーザーはシークレットスコープの ACL を取得します。	scope principal
secrets	getSecret	ユーザーがスコープからシークレットを取得します。	key scope
secrets	listAcls	ユーザーは、シークレットスコープの ACL を一覧表示するために呼び出しを行います。	scope
secrets	listScopes	ユーザーがシークレットスコープを一覧表示するために呼び出しを行う	なし
secrets	listSecrets	ユーザーは、スコープ内のシークレットを一覧表示する呼び出しを行います。	scope
secrets	putAcl	ユーザーはシークレットスコープの ACL を変更します。	scope principal permission
secrets	putSecret	ユーザーがスコープ内でシークレットを追加または編集します。	string_value key scope

SQLテーブルアクセスイベント

注：

sqlPermissions サービスには、従来のHive metastoreテーブルアクセスコントロールに関連するイベントが含まれます。 Databricks 、 Hive metastoreによって管理されるテーブルをUnity Catalogメタストアにアップグレードすることをお勧めします。

次のsqlPermissionsイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
sqlPermissions	changeSecurableOwner	ワークスペース管理者またはオブジェクトの所有者がオブジェクトの所有権を譲渡します。	securable principal
sqlPermissions	createSecurable	ユーザーがセキュリティ保護可能なオブジェクトを作成します。	securable
sqlPermissions	denyPermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する特権を拒否します。	permission
sqlPermissions	grantPermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を付与します。	permission
sqlPermissions	removeAllPermissions	ユーザーがセキュリティ保護可能なオブジェクトを削除します。	securable
sqlPermissions	renameSecurable	ユーザーがセキュリティ保護可能なオブジェクトの名前を変更します。	before after
sqlPermissions	requestPermissions	ユーザーがセキュリティ保護可能なオブジェクトに対するアクセス許可を要求します。	requests
sqlPermissions	revokePermission	オブジェクト所有者は、セキュリティ保護可能なオブジェクトに対する権限を取り消します。	permission
sqlPermissions	showPermissions	ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可を表示します。	securable principal

SSHイベント

次のsshイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
ssh	login	Spark ドライバーへの SSH エージェント ログイン。	containerId userName port publicKey instanceId
ssh	logout	エージェントはSparkドライバーからSSHをログアウトします。	userName containerId instanceId

Vector searchイベント

次のvectorSearchイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
vectorSearch	createEndpoint	ユーザーがベクトル検索エンドポイントを作成します。	name endpoint_type
vectorSearch	deleteEndpoint	ユーザーがベクトル検索エンドポイントを削除します。	name
vectorSearch	createVectorIndex	ユーザーがベクトル検索インデックスを作成します。	name endpoint_name primary_key index_type delta_sync_index_spec direct_access_index_spec
vectorSearch	deleteVectorIndex	ユーザーがベクトル検索インデックスを削除します。	name endpoint_name delete_embedding_writeback_table

Webターミナルイベント

次のwebTerminalイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
webTerminal	startSession	ユーザーが Web ターミナル セッションを開始します。	socketGUID clusterId serverPort ProxyTargetURI
webTerminal	closeSession	ユーザーが Web ターミナル セッションを閉じます。	socketGUID clusterId serverPort ProxyTargetURI

ワークスペースイベント

次のworkspaceイベントがワークスペース レベルで記録されます。

サービス	アクション名	説明	リクエストパラメーター
workspace	changeWorkspaceAcl	ワークスペースへの権限が変更されます。	shardName targetUserId aclPermissionSet resourceId
workspace	deleteSetting	ワークスペースから設定が削除されます。	settingKeyTypeName settingKeyName settingTypeName settingName
workspace	fileCreate	ユーザーがワークスペースにファイルを作成します。	path
workspace	fileDelete	ユーザーがワークスペース内のファイルを削除します。	path
workspace	fileEditorOpenEvent	ユーザーがファイルエディタを開きます。	notebookId path
workspace	getRoleAssignment	ユーザーはワークスペースのユーザー ロールを取得します。	account_id workspace_id
workspace	mintOAuthAuthorizationCode	社内 OAuth 認証コードがワークスペース レベルで作成されたときに記録されます。	client_id
workspace	mintOAuthToken	ワークスペース用の OAuth トークンが作成されます。	grant_type scope expires_in client_id
workspace	moveWorkspaceNode	ワークスペース管理者がワークスペース ノードを移動します。	destinationPath path
workspace	purgeWorkspaceNodes	ワークスペース管理者はワークスペース ノードを消去します。	treestoreId
workspace	reattachHomeFolder	ワークスペースに再度追加されたユーザーに対して、既存のホームフォルダーが再度接続されます。	path
workspace	renameWorkspaceNode	ワークスペース管理者がワークスペース ノードの名前を変更します。	path destinationPath
workspace	unmarkHomeFolder	ユーザーがワークスペースから削除されると、ホーム フォルダーの特殊属性は削除されます。	path
workspace	updateRoleAssignment	ワークスペース管理者はワークスペース ユーザーの役割を更新します。	account_id workspace_id principal_id
workspace	updatePermissionAssignment	ワークスペース管理者は、ワークスペースにプリンシパルを追加します。	principal_id permissions
workspace	setSetting	ワークスペース管理者はワークスペース設定を構成します。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
workspace	workspaceConfEdit	ワークスペース管理者は、詳細な監査ログを有効にするなど、設定を更新します。	workspaceConfKeys workspaceConfValues
workspace	workspaceExport	ユーザーはワークスペースからノートブックをエクスポートします。	workspaceExportDirectDownload workspaceExportFormat notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	OAuth クライアントはワークスペース サービスで認証されます。	user

課金利用イベント

次のaccountBillableUsageイベントがアカウント レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
accountBillableUsage	getAggregatedUsage	ユーザーは、使用状況グラフ機能を使用して、アカウントの集計された課金利用 (1 日あたりの使用量) にアクセスしました。	account_id window_size start_time end_time meter_name workspace_ids_filter
accountBillableUsage	getDetailedUsage	ユーザーは、使用状況ダウンロード機能を使用して、アカウントの詳細な課金利用 (各クラスターの使用状況) にアクセスしました。	account_id start_month end_month with_pii

アカウントレベルのアカウントイベント

次のaccountsイベントがアカウント レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
accounts	accountInHouseOAuthClientAuthentication	OAuth クライアントが認証されます。	endpoint
accounts	accountIpAclsValidationFailed	IP アクセス許可の検証に失敗します。 statusCode 403 を返します。	sourceIpAddress user: Eメールアドレスとしてログイン
accounts	activateUser	ユーザーは、非アクティブ化された後、再アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。	targetUserName endpoint targetUserId
accounts	add	ユーザーが Databricks アカウントに追加されます。	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	ユーザーがアカウント レベルのグループに追加されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addPrincipalsToGroup	ユーザーは、SCIM プロビジョニングを使用してアカウント レベルのグループに追加されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	createGroup	アカウントレベルのグループが作成されます。	endpoint targetGroupId targetGroupName
accounts	deactivateUser	ユーザーが非アクティブ化されます。 「アカウント内のユーザーを非アクティブ化」を参照してください。	targetUserName endpoint targetUserId
accounts	delete	ユーザーが Databricks アカウントから削除されます。	targetUserId targetUserName endpoint
accounts	deleteSetting	アカウント管理者がDatabricksから設定を削除します。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	garbageCollectDbToken	ユーザーは期限切れのトークンに対してガベージ コレクション コマンドを実行します。	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed
accounts	generateDbToken	ユーザーは、ユーザー設定からトークンを生成するか、サービスがトークンを生成するときにトークンを生成します。	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	login	ユーザーがアカウント コンソールにログインします。	user
accounts	logout	ユーザーがアカウント コンソールからログアウトします。	user
accounts	mintOAuthAuthorizationCode	社内 OAuth 認証コードがアカウント レベルで生成されたときに記録されます。	client_id
accounts	mintOAuthToken	サービスプリンシパルにアカウントレベルのOAuthトークンが発行されます。	user
accounts	oidcBrowserLogin	ユーザーは、OpenID Connect ブラウザ ワークフローを使用して自分のアカウントにログインします。	user
accounts	oidcTokenAuthorization	アカウント管理者のログインには OIDC トークンが認証されます。	user
accounts	passwordVerifyAuthentication	ユーザーのパスワードは、アカウント コンソールのログイン時に検証されます。	user
accounts	removeAccountAdmin	アカウント管理者は、別のユーザーからアカウント管理者権限を削除します。	targetUserName endpoint targetUserId
accounts	removeGroup	グループがアカウントから削除されます。	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	ユーザーがアカウント レベルのグループから削除されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	removePrincipalsFromGroup	SCIM プロビジョニングを使用して、ユーザーはアカウント レベルのグループから削除されます。	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	setAccountAdmin	アカウント管理者は、アカウント管理者の役割を別のユーザーに割り当てます。	targetUserName endpoint targetUserId
accounts	setSetting	アカウント管理者がアカウント レベルの設定を更新します。	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	tokenLogin	ユーザーはトークンを使用して Databricks にログインします。	tokenId user
accounts	updateUser	アカウント管理者がユーザー アカウントを更新します。	targetUserName endpoint targetUserId
accounts	updateGroup	アカウント管理者がアカウント レベルのグループを更新します。	endpoint targetGroupId targetGroupName
accounts	validateEmail	ユーザーがアカウント作成後に電子メールを検証するとき。	endpoint targetUserName targetUserId

アカウントレベルのアクセス制御イベント

次のaccountsAccessControlイベントがアカウント レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
accountsAccessControl	updateRuleSet	ルール セットが変更されたとき。	account_id name rule_set

アカウント管理イベント

次のaccountsManagerイベントがアカウント レベルで記録されます。 これらのイベントは、アカウント コンソールでアカウント管理者が行った構成に関係しています。

サービス	操作	説明	リクエストパラメーター
accountsManager	acceptTos	管理者はワークスペースのサービス利用規約に同意します。	workspace_id
accountsManager	accountUserResetPassword	アカウント管理者がユーザーのパスワードをリセットします。 リセット後にユーザーがパスワードを変更したかどうかも記録します。	wasPasswordChanged serviceSource targetUserId userId newPasswordSource
accountsManager	changeAccountOwner	アカウント所有者の役割が別のアカウント管理者に譲渡されます。	account_id first_name last_name email
accountsManager	consolidateAccounts	アカウントは Databricks によって別のアカウントと統合されました。	target_account_id account_ids_to_consolidate
accountsManager	createCredentialsConfiguration	アカウント管理者が資格情報構成を作成しました。	credentials
accountsManager	createCustomerManagedKeyConfiguration	アカウント管理者が顧客管理キー構成を作成しました。	customer_managed_key
accountsManager	createNetworkConfiguration	アカウント管理者がネットワーク構成を作成しました。	network
accountsManager	createPrivateAccessSettings	アカウント管理者がプライベート アクセス設定構成を作成しました。	private_access_settings
accountsManager	createStorageConfiguration	アカウント管理者がストレージ構成を作成しました。	storage_configuration
accountsManager	createVpcEndpoint	アカウント管理者が VPC エンドポイント構成を作成しました。	vpc_endpoint
accountsManager	createWorkspaceConfiguration	アカウント管理者が新しいワークスペースを作成します。 workspaceリクエストは、 workspace_nameを含むデプロイメント情報の配列です。 workspace_idはresponse.resultにあります。	workspace
accountsManager	deleteCredentialsConfiguration	アカウント管理者が資格情報の構成を削除しました。	account_id credentials_id
accountsManager	deleteCustomerManagedKeyConfiguration	アカウント管理者が顧客管理キー構成を削除しました。	account_id customer_managed_key_id
accountsManager	deleteNetworkConfiguration	アカウント管理者がネットワーク構成を削除しました。	account_id network_id
accountsManager	deletePrivateAccessSettings	アカウント管理者がプライベート アクセス設定の構成を削除しました。	account_id private_access_settings_id
accountsManager	deleteStorageConfiguration	アカウント管理者がストレージ構成を削除しました。	account_id storage_configuration_id
accountsManager	deleteVpcEndpoint	アカウント管理者が VPC エンドポイント構成を削除しました。	account_id vpc_endpoint_id
accountsManager	deleteWorkspaceConfiguration	アカウント管理者がワークスペースを削除しました。	account_id workspace_id
accountsManager	getCredentialsConfiguration	アカウント管理者は資格情報の構成に関する詳細を要求します。	account_id credentials_id
accountsManager	getCustomerManagedKeyConfiguration	アカウント管理者は、顧客管理キー構成の詳細を要求します。	account_id customer_managed_key_id
accountsManager	getNetworkConfiguration	アカウント管理者はネットワーク構成の詳細を要求します。	account_id network_id
accountsManager	getPrivateAccessSettings	アカウント管理者は、プライベート アクセス設定の構成に関する詳細を要求します。	account_id private_access_settings_id
accountsManager	getStorageConfiguration	アカウント管理者はストレージ構成の詳細を要求します。	account_id storage_configuration_id
accountsManager	getVpcEndpoint	アカウント管理者は、VPC エンドポイント構成の詳細を要求します。	account_id vpc_endpoint_id
accountsManager	getWorkspaceConfiguration	アカウント管理者がワークスペースの詳細を要求します。	account_id workspace_id
accountsManager	listCredentialsConfigurations	アカウント管理者は、アカウント内のすべての資格情報構成を一覧表示します。	account_id
accountsManager	listCustomerManagedKeyConfigurations	アカウント admin は、アカウント内の顧客が管理するすべてのキー構成を一覧表示します。	account_id
accountsManager	listNetworkConfigurations	アカウント admin は、アカウント内のすべてのネットワーク構成を一覧表示します。	account_id
accountsManager	listPrivateAccessSettings	アカウント管理者は、アカウント内のすべてのプライベート アクセス設定構成を一覧表示します。	account_id
accountsManager	listStorageConfigurations	アカウント admin は、アカウント内のすべてのストレージ構成を一覧表示します。	account_id
accountsManager	listSubscriptions	アカウント管理者は、すべてのアカウント課金サブスクリプションを一覧表示します。	account_id
accountsManager	listVpcEndpoints	アカウント管理者は、アカウントのすべてのVPCエンドポイント構成を一覧表示しました。	account_id
accountsManager	listWorkspaceConfigurations	アカウント admin は、アカウント内のすべてのワークスペースを一覧表示します。	account_id
accountsManager	listWorkspaceEncryptionKeyRecords	アカウント管理者は、特定のワークスペース内のすべての暗号化キー レコードを一覧表示します。	account_id workspace_id
accountsManager	listWorkspaceEncryptionKeyRecordsForAccount	アカウント admin は、アカウント内のすべての暗号化キー レコードを一覧表示します。	account_id
accountsManager	sendTos	Databricks利用規約に同意するための電子メールがワークスペース管理者に送信されました。	account_id workspace_id
accountsManager	updateAccount	アカウントの詳細が内部的に変更されました。	account_id account
accountsManager	updateSubscription	アカウントの課金サブスクリプションが更新されました。	account_id subscription_id subscription
accountsManager	updateWorkspaceConfiguration	管理者がワークスペースの構成を更新しました。	account_id workspace_id

Budget ポリシー イベント

次の budgetPolicyCentral イベントはアカウント レベルで記録され、予算ポリシーに関連しています。 予算ポリシーによるサーバレス使用料の按分を参照してください。

サービス	操作	説明	リクエストパラメーター
budgetPolicyCentral	createBudgetPolicy	ワークスペース管理者または請求管理者が予算ポリシーを作成します。 新しい policy_id は response 列に記録されます。	policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを更新します。	policy.policy_id policy.policy_name
budgetPolicyCentral	updateBudgetPolicy	ワークスペース管理者、請求管理者、またはポリシー マネージャーが予算ポリシーを削除します。	policy_id

配信イベントのログ

次のlogDeliveryイベントがアカウント レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
logDelivery	createLogDeliveryConfiguration	管理者がログ配信構成を作成しました。	account_id config_id
logDelivery	getLogDeliveryConfiguration	管理者がログ配信構成の詳細を要求しました。	log_delivery_configuration
logDelivery	listLogDeliveryConfigurations	管理者はアカウント内のすべてのログ配信構成をリストしました。	account_id storage_configuration_id credentials_id status
logDelivery	updateLogDeliveryConfiguration	管理者がログ配信構成を更新しました。	config_id account_id status

Oauth SSOイベント

次のoauth2イベントはアカウント レベルで記録され、アカウント コンソールへの OAuth SSO 認証に関連しています。

サービス	操作	説明	リクエストパラメーター
oauth2	createCustomAppIntegration	ワークスペース管理者がカスタム アプリ統合を作成します。	redirect_url name token_access_policy confidential
oauth2	createPublishedAppIntegration	ワークスペース管理者は、公開されたアプリ統合を使用してアプリ統合を作成します。	app_id
oauth2	deleteCustomAppIntegration	ワークスペース管理者がカスタム アプリの統合を削除します。	integration_id
oauth2	deletePublishedAppIntegration	ワークスペース管理者が公開済みのアプリ統合を削除します。	integration_id
oauth2	enrollOAuth	ワークスペース管理者が OAuth にアカウントを登録します。	enable_all_published_apps
oauth2	updateCustomAppIntegration	ワークスペース管理者がカスタム アプリの統合を更新します。	redirect_url name token_access_policy confidential
oauth2	updatePublishedAppIntegration	ワークスペース管理者は公開されたアプリの統合を更新します。	token_access_policy

サービスプリンシパル資格情報イベント (パブリック プレビュー)

次のservicePrincipalCredentialsイベントがアカウント レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
servicePrincipalCredentials	create	アカウント管理者は、サービスプリンシパルのOAuthシークレットを生成します。	account_id service_principal secret_id
servicePrincipalCredentials	list	アカウント管理者は、サービスプリンシパルの下にすべてのOAuthシークレットを一覧表示します。	account_id service_principal
servicePrincipalCredentials	delete	アカウント管理者がサービスプリンシパルのOAuthシークレットを削除します。	account_id service_principal secret_id

シングルサインオンイベント

次のssoConfigBackendイベントはアカウント レベルで記録され、アカウント コンソールの SSO 認証に関連しています。

サービス	操作	説明	リクエストパラメーター
ssoConfigBackend	create	アカウント管理者がアカウント コンソールのSSO構成を作成しました。	account_id sso_type config
ssoConfigBackend	get	アカウント管理者がアカウント コンソールのSSO構成の詳細を要求しました。	account_id sso_type
ssoConfigBackend	update	アカウント管理者がアカウント コンソールのSSO構成を更新しました。	account_id sso_type config

Unity Catalogイベント

次の監査イベントは Unity Catalog に関連しています。 Delta Sharingイベントも unityCatalog サービス に記録されます。 Delta Sharingイベントについては、 Delta Sharingイベント」を参照してください。 Unity Catalog 監査イベントは、イベントに応じてワークスペース レベルまたはアカウント レベルでログに記録できます。

サービス	操作	説明	リクエストパラメーター
unityCatalog	createMetastore	アカウント管理者がメタストアを作成します。	name storage_root workspace_id metastore_id
unityCatalog	getMetastore	アカウント管理者がメタストア ID を要求します。	id workspace_id metastore_id
unityCatalog	getMetastoreSummary	アカウント管理者がメタストアの詳細を要求します。	workspace_id metastore_id
unityCatalog	listMetastores	アカウント管理者は、アカウント内のすべてのメタストアのリストを要求します。	workspace_id
unityCatalog	updateMetastore	アカウント管理者がメタストアを更新します。	id owner workspace_id metastore_id
unityCatalog	deleteMetastore	アカウント管理者がメタストアを削除します。	id force workspace_id metastore_id
unityCatalog	updateMetastoreAssignment	アカウント管理者がメタストアのワークスペース割り当てを更新します。	workspace_id metastore_id default_catalog_name
unityCatalog	createExternalLocation	アカウント管理者が外部ロケーションを作成します。	name skip_validation url credential_name workspace_id metastore_id
unityCatalog	getExternalLocation	アカウント管理者が外部ロケーションの詳細を要求します。	name_arg include_browse workspace_id metastore_id
unityCatalog	listExternalLocations	アカウント管理者は、アカウント内のすべての外部ロケーションのリストを要求します。	url max_results workspace_id metastore_id
unityCatalog	updateExternalLocation	アカウント管理者が外部ロケーションを更新します。	name_arg owner workspace_id metastore_id
unityCatalog	deleteExternalLocation	アカウント管理者が外部ロケーションを削除します。	name_arg force workspace_id metastore_id
unityCatalog	createCatalog	ユーザーがカタログを作成します。	name comment workspace_id metastore_id
unityCatalog	deleteCatalog	ユーザーがカタログを削除します。	name_arg workspace_id metastore_id
unityCatalog	getCatalog	ユーザーがカタログの詳細を要求します。	name_arg dependent workspace_id metastore_id
unityCatalog	updateCatalog	ユーザーがカタログを更新します。	name_arg isolation_mode comment workspace_id metastore_id
unityCatalog	listCatalog	ユーザーは、メタストア内のすべてのカタログを一覧表示する呼び出しを行います。	name_arg workspace_id metastore_id
unityCatalog	createSchema	ユーザーがスキーマを作成します。	name catalog_name comment workspace_id metastore_id
unityCatalog	deleteSchema	ユーザーがスキーマを削除します。	full_name_arg force workspace_id metastore_id
unityCatalog	getSchema	ユーザーがスキーマの詳細を要求します。	full_name_arg dependent workspace_id metastore_id
unityCatalog	listSchema	ユーザーがカタログ内のすべてのスキーマのリストを要求します。	catalog_name
unityCatalog	updateSchema	ユーザーがスキーマを更新します。	full_name_arg name workspace_id metastore_id comment
unityCatalog	createStagingTable		name catalog_name schema_name workspace_id metastore_id
unityCatalog	createTable	ユーザーがテーブルを作成します。 リクエストの呼び出しは、作成されるテーブルのタイプによって異なります。	name data_source_format catalog_name schema_name storage_location columns dry_run table_type view_dependencies view_definition sql_path comment
unityCatalog	deleteTable	ユーザーがテーブルを削除します。	full_name_arg workspace_id metastore_id
unityCatalog	getTable	ユーザーがテーブルの詳細を要求します。	include_delta_metadata full_name_arg dependent workspace_id metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	ユーザーは、スキーマ内のすべてのテーブルを一覧表示する呼び出しを行います。	catalog_name schema_name workspace_id metastore_id include_browse
unityCatalog	listTableSummaries	ユーザーは、メタストア内のスキーマとカタログのテーブルの概要の配列を取得します。	catalog_name schema_name_pattern workspace_id metastore_id
unityCatalog	updateTables	ユーザーがテーブルを更新します。 表示されるリクエストは、行われたテーブル更新の種類によって異なります。	full_name_arg table_type table_constraint_list data_source_format columns dependent row_filter storage_location sql_path view_definition view_dependencies owner comment workspace_id metastore_id
unityCatalog	createStorageCredential	アカウント管理者がストレージ資格情報を作成します。 クラウド プロバイダーの資格情報に基づいて、追加のリクエスト パラメーターが表示される場合があります。	name comment workspace_id metastore_id
unityCatalog	listStorageCredentials	アカウント管理者は、アカウント内のすべてのストレージ資格情報を一覧表示する呼び出しを行います。	workspace_id metastore_id
unityCatalog	getStorageCredential	アカウント管理者がストレージ資格情報の詳細を要求します。	name_arg workspace_id metastore_id
unityCatalog	updateStorageCredential	アカウント管理者がストレージ資格情報を更新します。	name_arg owner workspace_id metastore_id
unityCatalog	deleteStorageCredential	アカウント管理者がストレージ資格情報を削除します。	name_arg workspace_id metastore_id
unityCatalog	generateTemporaryTableCredential	テーブルに対して一時的な資格情報が付与されるたびにログに記録されます。 このイベントを使用して、誰がいつ何を照会したかを判断できます。	credential_id credential_type is_permissions_enforcing_client table_full_name operation table_id workspace_id table_url metastore_id
unityCatalog	generateTemporaryPathCredential	パスに一時的な資格情報が付与されるたびにログに記録されます。	url operation make_path_only_parent workspace_id metastore_id
unityCatalog	getPermissions	ユーザーは、セキュリティ保護可能なオブジェクトのアクセス許可の詳細を取得するために呼び出しを行います。 この呼び出しでは、継承されたアクセス許可は返されず、明示的に割り当てられたアクセス許可のみが返されます。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getEffectivePermissions	ユーザーは、セキュリティ保護可能なオブジェクトのすべてのアクセス許可の詳細を取得するために呼び出しを行います。 有効なアクセス許可の呼び出しは、明示的に割り当てられたアクセス許可と継承されたアクセス許可の両方を返します。	securable_type securable_full_name workspace_id metastore_id
unityCatalog	updatePermissions	ユーザーがセキュリティ保護可能なオブジェクトに対する権限を更新します。	securable_type changes securable_full_name workspace_id metastore_id
unityCatalog	metadataSnapshot	ユーザーは、以前のテーブル バージョンのメタデータをクエリします。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	metadataAndPermissionsSnapshot	ユーザーは、以前のテーブル バージョンのメタデータとアクセス許可を照会します。	securables include_delta_metadata workspace_id metastore_id
unityCatalog	updateMetadataSnapshot	ユーザーは、以前のテーブル バージョンからメタデータを更新します。	table_list_snapshots schema_list_snapshots workspace_id metastore_id
unityCatalog	getForeignCredentials	ユーザーが呼び出しを行って、外部キーの詳細を取得します。	securables workspace_id metastore_id
unityCatalog	getInformationSchema	ユーザーが呼び出しを行って、スキーマの詳細を取得します。	table_name page_token required_column_names row_set_type required_column_names workspace_id metastore_id
unityCatalog	createConstraint	ユーザーがテーブルの制約を作成します。	full_name_arg constraint workspace_id metastore_id
unityCatalog	deleteConstraint	ユーザーがテーブルの制約を削除します。	full_name_arg constraint workspace_id metastore_id
unityCatalog	createPipeline	ユーザーがUnity Catalog Pipeline を作成します。	target_catalog_name has_workspace_definition id workspace_id metastore_id
unityCatalog	updatePipeline	ユーザーがUnity Catalog Pipeline を更新します。	id_arg definition_json id workspace_id metastore_id
unityCatalog	getPipeline	ユーザーがUnity Catalog Pipeline の詳細を要求します。	id workspace_id metastore_id
unityCatalog	deletePipeline	ユーザーがUnity Catalog Pipeline を削除します。	id workspace_id metastore_id
unityCatalog	deleteResourceFailure	リソースの削除に失敗しました	なし
unityCatalog	createVolume	ユーザーがUnity Catalogボリュームを作成します。	name catalog_name schema_name volume_type storage_location owner comment workspace_id metastore_id
unityCatalog	getVolume	ユーザーはUnity Catalogボリュームの情報を取得するために呼び出しを行います。	volume_full_name workspace_id metastore_id
unityCatalog	updateVolume	ユーザーは、ALTER VOLUME または COMMENT ON 呼び出しを使用してUnity Catalogボリュームのメタデータを更新します。	volume_full_name name owner comment workspace_id metastore_id
unityCatalog	deleteVolume	ユーザーがUnity Catalogボリュームを削除します。	volume_full_name workspace_id metastore_id
unityCatalog	listVolumes	ユーザーは、スキーマ内のすべてのUnity Catalogボリュームのリストを取得するために呼び出しを行います。	catalog_name schema_name workspace_id metastore_id
unityCatalog	generateTemporaryVolumeCredential	一時的な資格情報は、ユーザーがボリュームに対して読み取りまたは書き込みを実行したときに生成されます。 このイベントを使用して、誰がいつボリュームにアクセスしたかを判断できます。	volume_id volume_full_name operation volume_storage_location credential_id credential_type workspace_id metastore_id
unityCatalog	getTagSecurableAssignments	セキュリティ保護可能なタグの割り当てが取得されます	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getTagSubentityAssignments	サブエンティティのタグ割り当てが取得されます	securable_type securable_full_name workspace_id metastore_id subentity_name
unityCatalog	UpdateTagSecurableAssignments	セキュリティ保護可能なタグの割り当てが更新されます	securable_type securable_full_name workspace_id metastore_id changes
unityCatalog	UpdateTagSubentityAssignments	サブエンティティのタグ割り当てが更新されます	securable_type securable_full_name workspace_id metastore_id subentity_name changes
unityCatalog	createRegisteredModel	ユーザーはUnity Catalog登録されたモデルを作成します。	name catalog_name schema_name owner comment workspace_id metastore_id
unityCatalog	getRegisteredModel	ユーザーは、 Unity Catalogに登録されているモデルの情報を取得するために呼び出しを行います。	full_name_arg workspace_id metastore_id
unityCatalog	updateRegisteredModel	ユーザーはUnity Catalog登録されたモデルのメタデータを更新します。	full_name_arg name owner comment workspace_id metastore_id
unityCatalog	deleteRegisteredModel	ユーザーがUnity Catalog登録されているモデルを削除します。	full_name_arg workspace_id metastore_id
unityCatalog	listRegisteredModels	ユーザーは、スキーマ内のUnity Catalogに登録されているモデルのリストを取得するか、カタログとスキーマ全体のモデルをリストするために呼び出しを行います。	catalog_name schema_name max_results page_token workspace_id metastore_id
unityCatalog	createModelVersion	ユーザーはUnity Catalogでモデル バージョンを作成します。	catalog_name schema_name model_name source comment workspace_id metastore_id
unityCatalog	finalizeModelVersion	ユーザーは、モデル バージョン ファイルをストレージの場所にアップロードした後、Unity Catalog モデル バージョンを「ファイナライズ」するための呼び出しを行い、それを読み取り専用にして推論ワークフローで使用できるようにします。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersion	ユーザーが呼び出して、モデル バージョンの詳細を取得します。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersionByAlias	ユーザーは、エイリアスを使用してモデル バージョンの詳細を取得するために呼び出しを行います。	full_name_arg include_aliases alias_arg workspace_id metastore_id
unityCatalog	updateModelVersion	ユーザーがモデル バージョンのメタデータを更新します。	full_name_arg version_arg name owner comment workspace_id metastore_id
unityCatalog	deleteModelVersion	ユーザーがモデル バージョンを削除します。	full_name_arg version_arg workspace_id metastore_id
unityCatalog	listModelVersions	ユーザーは、登録されたモデル内のUnity Catalogモデル バージョンのリストを取得するために呼び出しを行います。	catalog_name schema_name model_name max_results page_token workspace_id metastore_id
unityCatalog	generateTemporaryModelVersionCredential	一時的な資格情報は、ユーザーがモデル バージョンに対して書き込み (初期モデル バージョンの作成中) または読み取り (モデル バージョンの確定後) を実行したときに生成されます。 このイベントを使用して、誰がいつモデル バージョンにアクセスしたかを判断できます。	full_name_arg version_arg operation model_version_url credential_id credential_type workspace_id metastore_id
unityCatalog	setRegisteredModelAlias	ユーザーは、 Unity Catalogに登録されたモデルにエイリアスを設定します。	full_name_arg alias_arg version
unityCatalog	deleteRegisteredModelAlias	ユーザーがUnity Catalogに登録されたモデルのエイリアスを削除します。	full_name_arg alias_arg
unityCatalog	getModelVersionByAlias	ユーザーはエイリアスによってUnity Catalogモデル バージョンを取得します。	full_name_arg alias_arg
unityCatalog	createConnection	新しい外部接続が作成されます。	name connection_type workspace_id metastore_id
unityCatalog	deleteConnection	外部接続が削除されます。	name_arg workspace_id metastore_id
unityCatalog	getConnection	外部接続が取得されます。	name_arg workspace_id metastore_id
unityCatalog	updateConnection	外部接続が更新されます。	name_arg owner workspace_id metastore_id
unityCatalog	listConnections	メタストア内の外部接続が一覧表示されます。	workspace_id metastore_id
unityCatalog	createFunction	ユーザーが新しい関数を作成します。	function_info workspace_id metastore_id
unityCatalog	updateFunction	ユーザーが関数を更新します。	full_name_arg owner workspace_id metastore_id
unityCatalog	listFunctions	ユーザーは、特定の親カタログまたはスキーマ内のすべての関数のリストを要求します。	catalog_name schema_name include_browse workspace_id metastore_id
unityCatalog	getFunction	ユーザーが親カタログまたはスキーマから関数を要求します。	full_name_arg workspace_id metastore_id
unityCatalog	deleteFunction	ユーザーが親カタログまたはスキーマから関数を要求します。	full_name_arg workspace_id metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos metastore_id

Delta Sharingイベント

Delta Sharingイベントは、データ プロバイダーのアカウントに記録されるイベントと、データ受信者のアカウントに記録されるイベントの 2 つのセクションに分かれています。

Delta Sharing プロバイダーイベント

次の監査ログ イベントがプロバイダーのアカウントに記録されます。 受信者によって実行されるアクションは、 deltaSharing プレフィックスで始まります。 これらの各ログには、共有データを管理するメタストアである request_params.metastore_idと、アクティビティを開始したユーザーの ID である userIdentity.emailも含まれています。

サービス	操作	説明	リクエストパラメーター
unityCatalog	deltaSharingListShares	データ受信者が共有のリストを要求します。	options: このリクエストで提供されるページネーションオプション。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetShare	データ受信者は、共有に関する詳細を要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListSchemas	データ受信者が共有スキーマのリストを要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 options: このリクエストで提供されるページネーションオプション。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllTables	データ受信者は、すべての共有テーブルのリストを要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListTables	データ受信者が共有テーブルのリストを要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 options: このリクエストで提供されるページネーションオプション。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetTableMetadata	データ受信者は、テーブルのメタデータに関する詳細を要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 schema：スキーマの名前。 name: テーブルの名前。 predicateHints: クエリに含まれる述語。 limitHints: 返される最大行数。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingGetTableVersion	データ受信者は、テーブルのバージョンに関する詳細を要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 schema：スキーマの名前。 name: テーブルの名前。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryTable	データ受信者が共有テーブルをクエリしたときにログに記録されます。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 schema：スキーマの名前。 name: テーブルの名前。 predicateHints: クエリに含まれる述語。 limitHints: 返される最大行数。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryTableChanges	データ受信者がテーブルのデータ変更をクエリしたときにログに記録されます。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 schema：スキーマの名前。 name: テーブルの名前。 cdf_options: チェンジデータフィードオプション。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueriedTable	データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.resultフィールドには、受信者のクエリに関する詳細情報が含まれます (データ共有の監査と監視を参照)	recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueriedTableChanges	データ受信者がクエリに対する応答を受け取った後にログに記録されます。 response.resultフィールドには、受信者のクエリに関する詳細情報が含まれます ( 「データ共有の監査と監視」を参照)。	recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListNotebookFiles	データ受信者が共有ノートブック ファイルのリストを要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingQueryNotebookFile	データ受信者が共有ノートブック ファイルを照会します。	file_name: ノートブックファイルの名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListFunctions	データ受信者は、親スキーマ内の関数のリストを要求します。	share: 共有の名前。 schema: 関数の親スキーマの名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllFunctions	データ受信者は、すべての共有機能のリストを要求します。	share: 共有の名前。 schema: 関数の親スキーマの名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListFunctionVersions	データ受信者は、関数バージョンのリストを要求します。	share: 共有の名前。 schema: 関数の親スキーマの名前。 function: 関数の名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListVolumes	データ受信者は、スキーマ内の共有ボリュームのリストを要求します。	share: 共有の名前。 schema: ボリュームの親スキーマ。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	deltaSharingListAllVolumes	データ受信者は、すべての共有ボリュームを要求します。	share: 共有の名前。 recipient_name: アクションを実行する受信者を示します。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true、要求が拒否されなかった場合は false。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	updateMetastore	プロバイダーがメタストアを更新します。	delta_sharing_scope: 値は INTERNAL または INTERNAL_AND_EXTERNALです。 delta_sharing_recipient_token_lifetime_in_seconds: 存在する場合、受信者トークンの有効期間が更新されたことを示します。
unityCatalog	createRecipient	プロバイダーは、データ受信者を作成します。	name: 受信者の名前。 comment: 受信者のコメント。 ip_access_list.allowed_ip_addresses: 受信者の IP アドレスの許可リスト。
unityCatalog	deleteRecipient	プロバイダーは、データ受信者を削除します。	name: 受信者の名前。
unityCatalog	getRecipient	プロバイダーは、データ受信者に関する詳細を要求します。	name: 受信者の名前。
unityCatalog	listRecipients	プロバイダーは、すべてのデータ受信者のリストを要求します。	なし
unityCatalog	rotateRecipientToken	プロバイダーは受信者のトークンをローテーションします。	name: 受信者の名前。 comment: 回転コマンドに指定されたコメント。
unityCatalog	updateRecipient	プロバイダーは、データ受信者の属性を更新します。	name: 受信者の名前。 updates: 共有に追加または削除された受信者属性の JSON 表現。
unityCatalog	createShare	プロバイダーは、データ受信者の属性を更新します。	name: 共有の名前。 comment: 共有のコメント。
unityCatalog	deleteShare	プロバイダーは、データ受信者の属性を更新します。	name: 共有の名前。
unityCatalog	getShare	プロバイダーは、共有に関する詳細を要求します。	name: 共有の名前。 include_shared_objects: 共有のテーブル名が要求に含まれていたかどうか。
unityCatalog	updateShare	プロバイダーは、共有にデータ資産を追加または削除します。	name: 共有の名前。 updates: 共有に追加または削除されたデータ資産の JSON 表現。 各項目には、 action (追加または削除)、 name (テーブルの実際の名前)、 shared_as (実際の名前と異なる場合はアセットが共有された名前)、および partition_specification (パーティション指定が指定されている場合) が含まれます。
unityCatalog	listShares	プロバイダーは、共有のリストを要求します。	なし
unityCatalog	getSharePermissions	プロバイダーは、共有のアクセス許可の詳細を要求します。	name: 共有の名前。
unityCatalog	updateSharePermissions	プロバイダーは、共有のアクセス許可を更新します。	name: 共有の名前。 changes: 更新された権限の JSON 表現。 各変更には、 principal (権限が付与または取り消されたユーザーまたはグループ)、 add (付与された権限のリスト)、およびremove (取り消された権限のリスト) が含まれます。
unityCatalog	getRecipientSharePermissions	プロバイダーは、受信者の共有アクセス許可に関する詳細を要求します。	name: 共有の名前。
unityCatalog	getActivationUrlInfo	プロバイダーは、アクティベーションリンクのアクティビティに関する詳細を要求します。	recipient_name: アクティベーション URL を開いた受信者の名前。 is_ip_access_denied:IP アクセス リストが設定されていない場合は [なし(None)] それ以外の場合、要求が拒否された場合は true し、要求が拒否されなかった場合は false します。 sourceIPaddress は受信者の IP アドレスです。
unityCatalog	generateTemporaryVolumeCredential	受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。	share_name: 受信者が要求する共有の名前。 share_id: 共有の ID。 share_owner: 共有の所有者。 recipient_name: 資格情報を要求する受信者の名前。 recipient_id: 受信者の ID。 volume_full_name: ボリュームの完全な 3 レベル名。 volume_id: ボリュームの ID。 volume_storage_location: ボリューム ルートのクラウド パス。 operation: READ_VOLUME または WRITE_VOLUMEのいずれかです。 ボリューム共有では、 READ_VOLUME のみがサポートされます。 credential_id: 資格情報の ID。 credential_type: 資格情報のタイプ。 値は常に StorageCredentialです。 workspace_id: 要求が共有ボリュームに対するものである場合、値は常に 0 されます。
unityCatalog	generateTemporaryTableCredential	受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。	share_name: 受信者が要求する共有の名前。 share_id: 共有の ID。 share_owner: 共有の所有者。 recipient_name: 資格情報を要求する受信者の名前。 recipient_id: 受信者の ID。 table_full_name: テーブルの完全な 3 レベル名。 table_id: テーブルの ID。 table_url: テーブル ルートのクラウド パス。 operation: READ または READ_WRITEのいずれかです。 credential_id: 資格情報の ID。 credential_type: 資格情報のタイプ。 値は常に StorageCredentialです。 workspace_id: 要求が共有テーブルに対するものである場合、値は常に 0 されます。

Delta Sharing受信者イベント

次のイベントはデータ受信者のアカウントに記録されます。 これらのイベントは、共有データおよび AI アセットへの受信者のアクセスと、プロバイダーの管理に関連するイベントを記録します。 これらの各イベントには、次のリクエストも含まれます。

• recipient_name: データプロバイダのシステム内の受信者の名前。

• metastore_id: データ プロバイダーのシステム内のメタストアの名前。

• sourceIPAddress: 要求が発信された IP アドレス。

サービス	操作	説明	リクエストパラメーター
unityCatalog	deltaSharingProxyGetTableVersion	データ受信者は、共有テーブルのバージョンの詳細を要求します。	share: 共有の名前。 schema：テーブルの親スキーマの名前。 name: テーブルの名前。
unityCatalog	deltaSharingProxyGetTableMetadata	データ受信者は、共有テーブルのメタデータの詳細を要求します。	share: 共有の名前。 schema：テーブルの親スキーマの名前。 name: テーブルの名前。
unityCatalog	deltaSharingProxyQueryTable	データ受信者が共有テーブルを照会します。	share: 共有の名前。 schema：テーブルの親スキーマの名前。 name: テーブルの名前。 limitHints: 返される最大行数。 predicateHints: クエリに含まれる述語。 version: チェンジデータフィードが有効な場合のテーブルバージョン。
unityCatalog	deltaSharingProxyQueryTableChanges	データ受信者は、テーブルの変更データを照会します。	share: 共有の名前。 schema：テーブルの親スキーマの名前。 name: テーブルの名前。 cdf_options: チェンジデータフィードオプション。
unityCatalog	createProvider	データ受信者は、プロバイダー オブジェクトを作成します。	name: プロバイダーの名前。 comment: プロバイダーのコメント。
unityCatalog	updateProvider	データ受信者がプロバイダー オブジェクトを更新します。	name: プロバイダーの名前。 updates: 共有に追加または削除されたプロバイダー属性の JSON 表現。 各項目には、 action (追加または削除) が含まれ、 name (新しいプロバイダー名)、 owner (新しい所有者)、および commentを含めることができます。
unityCatalog	deleteProvider	データ受信者がプロバイダー オブジェクトを削除します。	name: プロバイダーの名前。
unityCatalog	getProvider	データ受信者は、プロバイダー オブジェクトに関する詳細を要求します。	name: プロバイダーの名前。
unityCatalog	listProviders	データ受信者がプロバイダーのリストを要求します。	なし
unityCatalog	activateProvider	データ受信者は、プロバイダー オブジェクトをアクティブ化します。	name: プロバイダーの名前。
unityCatalog	listProviderShares	データ受信者は、プロバイダーの共有の一覧を要求します。	name: プロバイダーの名前。
unityCatalog	generateTemporaryVolumeCredential	受信者が共有ボリュームにアクセスするための一時的な資格情報が生成されます。	share_name: 受信者が要求する共有の名前。 volume_full_name: ボリュームの完全な 3 レベル名。 volume_id: ボリュームの ID。 operation: READ_VOLUME または WRITE_VOLUMEのいずれかです。 ボリューム共有では、 READ_VOLUME のみがサポートされます。 workspace_id: ユーザーリクエストを受信するワークスペースの ID。
unityCatalog	generateTemporaryTableCredential	受信者が共有テーブルにアクセスするための一時的な資格情報が生成されます。	share_name: 受信者が要求する共有の名前。 table_full_name: テーブルの完全な 3 レベル名。 table_id: テーブルの ID。 operation: READ または READ_WRITEのいずれかです。 workspace_id: ユーザーリクエストを受信するワークスペースの ID。

システムログイベント

注：

監査ログ内のresponse JSON オブジェクトには、元のシステム ログの内容を含むresultフィールドがあります。

次のsyslogイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
syslog	processEvent	システム・ログはイベントを処理します。	instanceId processName

プロセス・モニター・ログ・イベント

次のmonitイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
monit	processNotRunning	モニターは実行されていません。	instanceId processName
monit	processRestarting	モニターが再起動しています。	instanceId processName
monit	processStarted	モニターが起動しました。	instanceId processName
monit	processRunning	モニターは実行中です。	instanceId processName

追加のセキュリティモニタリングイベント

クラスターやプロ、またはクラシック SQL Databricksウェアハウスの VM など、 クラシック プレーン の コンピュート リソースの場合、次の機能によって追加のモニタリング エージェントが有効になります。

• 強化されたセキュリティ監視

• コンプライアンス セキュリティ プロファイル。 コンプライアンス セキュリティ プロファイルは、 PCI-DSS 、 HIPPA 、およびFedRAMP Moderateのコンプライアンス コントロールに必要です。

サーバレス コンピュート リソースの場合、コンプライアンス セキュリティ プロファイルが有効で、苦情処理標準がサーバレス コンピュート リソースをサポートしている場合、モニタリング エージェントは実行されます。 「どのコンピュート リソースがセキュリティを強化するか」および「コンプライアンス セキュリティ プロファイル コンプライアンス標準とサーバレス コンピュート availability」を参照してください。

ファイル整合性モニタリングイベント

次のcapsule8-alerts-dataplaneイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
capsule8-alerts-dataplane	Heartbeat	モニターがオンになっていることを確認する定期的なイベント。 現在10分ごとに実行しています。	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	重要なシステムファイルの整合性を監視します。 これらのファイルへの不正な変更を警告します。 Databricks はイメージ上の特定のシステム パス セットを定義しますが、このパス セットは時間の経過とともに変更される可能性があります。	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemdユニット ファイルがsystemctl以外のプログラムによって変更されるたびにアラートします。	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	プログラムのクラッシュが繰り返される場合は、攻撃者がメモリ破損の脆弱性を悪用しようとしているか、影響を受けるアプリケーションに安定性の問題があることを示している可能性があります。 セグメンテーション違反により、個々のプログラムのインスタンスが 5 つ以上クラッシュした場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	コンテナは通常、静的なワークロードであるため、このアラートは、攻撃者がコンテナを侵害し、バックドアをインストールして実行しようとしていることを示している可能性があります。 30 分以内に作成または変更されたファイルがコンテナ内で実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	New File Executed in Container	メモリは、アプリケーションが悪用されたときに悪意のあるコードを実行できるようにするために、実行可能とマークされることがよくあります。 プログラムがヒープまたはスタック メモリのアクセス許可を実行可能に設定するとアラートします。 これにより、特定のアプリケーションサーバーで誤検出が発生する可能性があります。	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	インタラクティブ シェルは、現代の本番運用インフラストラクチャではまれにしか発生しません。 リバース シェルで一般的に使用される引数を使用して対話型シェルが開始されたときにアラートします。	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	コマンド ログの回避は攻撃者にとって一般的な手法ですが、正当なユーザーが不正なアクションを実行したり、ポリシーを回避しようとしていることを示している可能性もあります。 ユーザーのコマンド履歴ログへの変更が検出された場合、ユーザーがコマンドログを回避しようとしていることを示します。	instanceId
capsule8-alerts-dataplane	BPF Program Executed	ある種のカーネルバックドアを検出します。 新しい Berkeley Packet Filter (BPF) プログラムのロードは、攻撃者が持続性を獲得し検出を回避するために BPF ベースのルートキットをロードしていることを示している可能性があります。 プロセスがすでに進行中のインシデントの一部である場合、プロセスが新しい特権 BPF プログラムをロードするとアラートを出します。	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	攻撃者は通常、悪意のあるカーネルモジュール(ルートキット)をロードして検出を回避し、侵害されたノードの永続性を維持します。 プログラムがすでに進行中のインシデントの一部である場合、カーネル モジュールがロードされるときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	攻撃者は、正当なシステム プログラムまたはサービスになりすますために、悪意のあるバイナリを作成したり、名前の末尾にスペースが含まれるように名前を変更したりする可能性があります。 プログラム名の後にスペースを付けてプログラムを実行するとアラートが鳴ります。	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	カーネル権限昇格のエクスプロイトにより、通常、権限のないユーザーは、権限変更の標準ゲートを通過せずにroot権限を取得できます。 プログラムが通常とは異なる手段で権限を昇格しようとしたときに警告します。 これにより、大きなワークロードを持つノードで誤検知アラートが発行される可能性があります。	instanceId
capsule8-alerts-dataplane	Kernel Exploit	内部カーネル関数は通常のプログラムからはアクセスできず、呼び出された場合、カーネルエクスプロイトが実行され、攻撃者がノードを完全に制御していることを強力に示しています。 カーネル関数が予期せずユーザー空間に戻ったときにアラートします。	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP と SMAP は、カーネルのエクスプロイトが成功するのを困難にするプロセッサ レベルの保護であり、これらの制限を無効にすることは、カーネルのエクスプロイトにおける一般的な初期ステップです。 プログラムがカーネルの SMEP/SMAP 構成を改ざんしたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	プログラムがコンテナ エスケープ エクスプロイトでよく使用されるカーネル関数を使用する場合にアラートを発します。これは、攻撃者が権限をコンテナ アクセスからノード アクセスに昇格していることを示します。	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	特権コンテナはホスト リソースに直接アクセスできるため、侵害された場合の影響が大きくなります。 コンテナが kube-proxy などの既知の特権イメージではない場合、特権コンテナが起動されるとアラートを出します。 これにより、正当な特権コンテナに対して不要なアラートが発行される可能性があります。	instanceId
capsule8-alerts-dataplane	Userland Container Escape	多くのコンテナエスケープは、ホストにコンテナ内バイナリの実行を強制し、その結果、攻撃者は影響を受けるノードを完全に制御します。 コンテナで作成されたファイルがコンテナ外から実行されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	特定のAppArmor属性の変更はカーネル内でのみ発生し、AppArmorがカーネルエクスプロイトまたはルートキットによって無効化されたことを示します。 センサーの起動時に検出された AppArmor 構成から AppArmor 状態が変更された場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	攻撃者は、検出を回避する一環として、AppArmor プロファイルの適用を無効にしようとする可能性があります。 SSH セッションでユーザーによって実行されなかった場合に、AppArmor プロファイルを変更するコマンドが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	Boot Files Modified	信頼できるソース (パッケージ マネージャーや構成管理ツールなど) によって実行されていない場合、ブート ファイルの変更は、攻撃者がホストへの永続的なアクセスを取得するためにカーネルまたはそのオプションを変更していることを示している可能性があります。 /boot内のファイルに変更が加えられたときにアラートを発し、新しいカーネルまたはブート構成のインストールを示します。	instanceId
capsule8-alerts-dataplane	Log Files Deleted	ログ管理ツールによって実行されないログの削除は、攻撃者が侵害の痕跡を削除しようとしていることを示している可能性があります。 システム ログ ファイルの削除に関するアラート。	instanceId
capsule8-alerts-dataplane	New File Executed	システム更新プログラム以外のソースから新しく作成されたファイルは、バックドア、カーネルのエクスプロイト、またはエクスプロイト チェーンの一部である可能性があります。 システム更新プログラムによって作成されたファイルを除き、30 分以内に作成または変更されたファイルが実行されるとアラートが発せられます。	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	ルート証明書ストアの変更は、不正な証明機関のインストールを示しており、ネットワーク トラフィックの傍受やコード署名検証のバイパスを可能にする可能性があります。 システム CA 証明書ストアが変更されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	setuid/setgidビットを設定すると、ノードで特権をエスカレーションするための永続的な方法を提供できます。chmodファミリのシステム コールを持つファイルにsetuidまたはsetgidビットが設定されている場合、アラートを出します。	instanceId
capsule8-alerts-dataplane	Hidden File Created	攻撃者は、侵害されたホスト上のツールやペイロードを隠す手段として、隠しファイルを作成することがよくあります。 進行中のインシデントに関連するプロセスによって隠しファイルが作成された場合にアラートします。	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	攻撃者は、システム ユーティリティが実行されるたびに悪意のあるペイロードを実行するために、システム ユーティリティを変更する可能性があります。 共通システム ユーティリティが不正なプロセスによって変更された場合に警告します。	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	攻撃者または悪意のあるユーザーは、これらのプログラムを使用またはインストールして、接続されているネットワークを調査して、侵害する追加のノードを探す可能性があります。 一般的なネットワークスキャンプログラムツールが実行されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Network Service Created	攻撃者は、侵害後にホストに簡単にアクセスできるように、新しいネットワーク サービスを開始する可能性があります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが新しいネットワーク サービスを開始するとアラートします。	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	攻撃者または不正なユーザーがネットワーク スニッフィング コマンドを実行して、資格情報、個人を特定できる情報 (PII)、またはその他の機密情報を取得する可能性があります。 ネットワークキャプチャを許可するプログラムが実行されたときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	ファイル転送ツールの使用は、攻撃者がツールセットを追加のホストに移動したり、リモートシステムにデータを盗み出そうとしていることを示している可能性があります。 リモート ファイルのコピーに関連付けられたプログラムが実行されたときに、そのプログラムがすでに進行中のインシデントの一部である場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	コマンドと制御チャンネルと暗号通貨マイナーは、通常とは異なるポートで新しい送信ネットワーク接続を作成することがよくあります。 プログラムがすでに進行中のインシデントの一部である場合、プログラムが通常とは異なるポートで新しい接続を開始したときにアラートを発します。	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	システムにアクセスした後、攻撃者はファイルの圧縮アーカイブを作成して、流出するデータのサイズを小さくする可能性があります。 データ圧縮プログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートが発せられます。	instanceId
capsule8-alerts-dataplane	Process Injection	プロセス インジェクション技術の使用は、通常、ユーザーがプログラムをデバッグしていることを示しますが、攻撃者が他のプロセスから秘密を読み取ったり、他のプロセスにコードを挿入したりしていることを示す場合もあります。 プログラムがptrace (デバッグ) メカニズムを使用して別のプロセスと対話するときにアラートします。	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	攻撃者は、アカウント列挙プログラムを使用して、アクセス レベルを判別したり、他のユーザーが現在ノードにログインしているかどうかを確認したりすることがよくあります。 アカウント列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	ファイルシステムの探索は、攻撃者が関心のある認証情報やデータを探すための一般的なエクスプロイト後の動作です。 ファイルとディレクトリの列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	攻撃者は、ローカル ネットワークとルート情報を照会して、横方向の移動に先立って隣接するホストとネットワークを特定できます。 ネットワーク構成の列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	攻撃者は、ノードの目的やセキュリティまたはモニタリング ツールが配置されているかどうかを識別するために、実行中のプログラムをリスト化することがよくあります。 プロセス列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	攻撃者は通常、システム列挙コマンドを実行して Linux カーネルとディストリビューションのバージョンと機能を判断し、ノードが特定の脆弱性の影響を受けているかどうかを確認します。 システム情報列挙に関連付けられたプログラムがすでに進行中のインシデントの一部である場合、そのプログラムが実行されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	スケジュールされたタスクを変更することは、侵害されたノード上で永続性を確立するための一般的な方法です。 crontab 、 at 、またはbatchコマンドを使用してスケジュールされたタスク構成を変更するとアラートが生成されます。	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	systemd ユニットを変更すると、セキュリティ制御が緩和または無効化されたり、悪意のあるサービスがインストールされたりする可能性があります。 systemctlコマンドを使用して systemd ユニットを変更するとアラートが発生します。	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	ルート・ユーザーへの明示的なエスカレーションにより、特権アクティビティーを特定のユーザーに関連付ける機能が低下します。 suコマンドが実行されるとアラートを発します。	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	sudoコマンドが実行されるとアラートを発します。	instanceId
capsule8-alerts-dataplane	User Command History Cleared	履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。	instanceId
capsule8-alerts-dataplane	New System User Added	攻撃者は、信頼できるアクセス方法を提供するために、新しいユーザーをホストに追加する可能性があります。 システム更新プログラムによってエンティティが追加されていない場合、ローカル アカウント管理ファイル/etc/passwdに新しいユーザー エンティティが追加されるとアラートが発生します。	instanceId
capsule8-alerts-dataplane	Password Database Modification	攻撃者は、ID 関連のファイルを直接変更して、新しいユーザーをシステムに追加する可能性があります。 既存のユーザー情報の更新とは関係のないプログラムによって、ユーザーパスワードに関連するファイルが変更された場合にアラートを発します。	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	新しいSSH公開鍵の追加は、侵害されたホストへの永続的なアクセスを取得するための一般的な方法です。 プログラムがすでに進行中のインシデントの一部である場合、ユーザーの SSH authorized_keysファイルへの書き込み試行が観察されるとアラートを出します。	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	新しいユーザーを追加することは、侵害されたノード上で永続性を確立する際に攻撃者がよく行う手段です。 パッケージ マネージャー以外のプログラムによって ID 管理プログラムが実行されたときにアラートが発生します。	instanceId
capsule8-alerts-dataplane	User Configuration Changes	履歴ファイルの削除は一般的ではなく、アクティビティを隠す攻撃者や、監査制御を回避しようとする正当なユーザーによって実行されるのが一般的です。 コマンドライン履歴ファイルが削除されたときにアラートします。	instanceId
capsule8-alerts-dataplane	New System User Added	ユーザープロファイルと構成ファイルは、ユーザーがログインするたびにプログラムを実行するために、永続化の方法として変更されることがよくあります。 .bash_profileとbashrc (および関連ファイル) がシステム更新ツール以外のプログラムによって変更された場合に通知します。	instanceId

ウイルス対策モニタリングイベント

注：

これらの監査ログ内のresponse JSON オブジェクトには常に、元のスキャン結果の 1 行を含むresultフィールドが含まれます。 各スキャン結果は、通常、元のスキャン出力の各行に 1 つずつ、複数の監査ログ レコードで表されます。 このファイルに表示される内容の詳細については、次の サードパーティのドキュメントを参照してください。

次のclamAVScanService-dataplaneイベントがワークスペース レベルで記録されます。

サービス	操作	説明	リクエストパラメーター
clamAVScanService-dataplane	clamAVScanAction	ウイルス対策モニタリングがスキャンを実行します。 ログは、元のスキャン出力の各行に対して生成されます。	instanceId

廃止されたログイベント

Databricks では、次の databrickssql 監査イベントが非推奨になりました。

• createAlertDestination (現在は createNotificationDestination)

• deleteAlertDestination (現在は deleteNotificationDestination)

• updateAlertDestination (現在は updateNotificationDestination)

• muteAlert

• unmuteAlert

SQL ログ

非推奨の SQL アドレスAPI (SQL ウェアハウスの旧称) を使用して SQL ウェアハウスを作成すると、対応する監査イベント名には Warehouse ではなく Endpoint という単語が含まれます。 名前を除けば、これらのイベントは SQL ウェアハウス イベントと同一です。 これらのイベントの説明と要求を表示するには、 Databricks SQLイベントの対応するイベントを参照してください。

SQL トランザクション イベントは次のとおりです。

• changeEndpointAcls

• createEndpoint

• editEndpoint

• startEndpoint

• stopEndpoint

• deleteEndpoint

• setEndpointConfig