Pular para o conteúdo principal

Auditoria log referência

nota

Esse recurso exige o plano Premium ou superior.

Este artigo apresenta uma referência abrangente dos serviços e eventos de log de auditoria disponíveis. Conhecendo quais eventos são registrados nos logs de auditoria, sua empresa pode monitorar padrões de uso detalhados do Databricks em sua conta.

A maneira mais fácil de acessar e consultar a auditoria do seu account logs é usar as tabelas do sistema (Public Preview).

Se o senhor quiser configurar um fornecimento regular de log, consulte Configurar fornecimento de log de auditoria.

Auditoria log serviço

Os serviços a seguir e seus eventos são registrados por padrão nos logs de auditoria.

serviço em nível de espaço de trabalho

Os registros de auditoria no nível do workspace estão disponíveis para estes serviços:

Nome do Serviço

Descrição

contas

Eventos relacionados a contas, usuários, grupos e listas de acesso a IP.

AI Bigenie

Eventos relacionados a AI/BI Genie spaces.

clusterPolicies

Eventos relacionados a políticas de cluster.

clusters

Eventos relacionados a clusters.

painéis

Eventos relacionados ao uso do site AI/BI dashboard.

databrickssql

Eventos relacionados ao uso do Databricks SQL.

Monitoramento de dados

Eventos relacionados ao monitoramento da lagoa.

dbfs

Eventos relacionados ao DBFS.

deltaPipelines

Eventos relacionados ao pipeline doDelta Live Table.

featureStore

Eventos relacionados à loja de recursosDatabricks.

sistema de arquivo

Eventos relacionados ao gerenciamento de arquivos, o que inclui a interação com arquivos usando a API Files ou na UI de volumes.

genie

Eventos relacionados ao acesso ao workspace pelo pessoal de suporte.

gitCredentials

Eventos relacionados a credenciais Git para pastas Git da Databricks. Veja também repos.

globalInitScripts

Eventos relacionados a scripts de inicialização globais.

groups

Eventos relacionados a grupos de conta e workspace.

iamRole

Eventos relacionados a permissões de função do IAM.

Ingestão

Eventos relacionados ao upload de arquivos.

instânciaPools

Eventos relacionados à piscina.

empregos

Eventos relacionados a trabalhos.

Rastreamento de linhagem

Eventos relacionados à linhagem de dados.

Consumidor do Marketplace

Eventos relacionados a ações do consumidor no Databricks Marketplace.

Provedor do Marketplace

Eventos relacionados a ações do provedor no Databricks Marketplace.

mlflowAcledArtifact

Eventos relacionados a artefatos ML Flow com ACLs.

mlflowExperiment

Eventos relacionados a experimentos do ML Flow.

modeloRegistro

Eventos relacionados ao workspace registro de modelo. Para a atividade logs para modelos em Unity Catalog, consulte os eventosUnity Catalog.

notebook

Eventos relacionados a notebooks.

Conexão de parceiros

Eventos relacionados ao Partner Connect.

Otimização preditiva

Eventos relacionados à otimização preditiva.

remoteHistoryService

Eventos relacionados à adição e remoção de credenciais do GitHub.

repos

Eventos relacionados às pastas Git do Databricks. Veja também gitCredentials.

segredos

Eventos relacionados a segredos.

serverlessRealTimeInference

Eventos relacionados ao servindo modelo.

sqlPermissions

Eventos relacionados ao legado Hive metastore controle de acesso da tabela.

ssh

Eventos relacionados ao acesso SSH.

Vector Search

Eventos relacionados ao Mosaic AI Vector Search.

webTerminal

Eventos relacionados ao recurso de terminal da Web.

workspace

Eventos relacionados a workspaces.

serviço em nível de conta

Os registros de auditoria no nível da conta estão disponíveis para estes serviços:

Nome do Serviço

Descrição

Controle de acesso a contas

Ações relacionadas à conta Controle de acesso API.

accountBillableUsage

Ações relacionadas ao acesso de uso faturável no console da conta.

contas

Ações relacionadas ao acesso em nível de conta e gerenciamento de identidade.

accountsManager

Ações realizadas no console account.

Central de Política Orçamentária

Ações relacionadas ao gerenciamento de políticas orçamentárias.

sala limpa

Ações relacionadas às Salas Limpas.

logDelivery

Log de configuração de entrega para uso faturável ou logs de auditoria.

oauth2

Ações relacionadas à autenticação OAuth SSO no console da conta.

servicePrincipalCredentials

Ações relacionadas às credenciais da entidade de serviço.

ssoConfigBackend

Configurações de logon único para a conta.

unityCatalog

Ações realizadas no Unity Catalog. Isso também inclui os eventos Delta Sharing, consulte os eventosDelta Sharing.

Serviço adicional de monitoramento de segurança

Há serviços adicionais e ações associadas para espaços de trabalho que usam o perfil de segurançacompliance (necessário para alguns padrões compliance, como HIPAA) ou o monitoramento de segurança aprimorado.

Esses são serviços de nível workspaceque só serão gerados no seu logs se o senhor estiver usando o perfil de segurança compliance ou o monitoramento de segurança aprimorado:

Nome do Serviço

Descrição

capsule8-alerts-dataplane

Ações relacionadas ao monitoramento da integridade do arquivo.

Plano de dados do ClamaVScan Service

Ações relacionadas ao monitoramento de antivírus.

monitor

Ações relacionadas ao monitor do processo.

syslog

Ações relacionadas aos logs do sistema.

Auditoria log exemplo de esquema

No Databricks, os logs de auditoria geram eventos no formato JSON. As propriedades serviceName e actionName identificam o evento. A convenção de nomenclatura segue a API RESTdo Databricks.

O exemplo a seguir é para um evento createMetastoreAssignment.

JSON
{
"version": "2.0",
"auditLevel": "ACCOUNT_LEVEL",
"timestamp": 1629775584891,
"orgId": "3049056262456431186970",
"shardName": "test-shard",
"accountId": "77636e6d-ac57-484f-9302-f7922285b9a5",
"sourceIPAddress": "10.2.91.100",
"userAgent": "curl/7.64.1",
"sessionId": "f836a03a-d360-4792-b081-baba525324312",
"userIdentity": {
"email": "crampton.rods@email.com",
"subjectName": null
},
"serviceName": "unityCatalog",
"actionName": "createMetastoreAssignment",
"requestId": "ServiceMain-da7fa5878f40002",
"requestParams": {
"workspace_id": "30490590956351435170",
"metastore_id": "abc123456-8398-4c25-91bb-b000b08739c7",
"default_catalog_name": "main"
},
"response": {
"statusCode": 200,
"errorMessage": null,
"result": null
},
"MAX_LOG_MESSAGE_LENGTH": 16384
}

Auditoria log considerações sobre o esquema

  • Se as ações demorarem muito, a solicitação e a resposta serão registradas em separado, mas o par de solicitação e resposta terá o mesmo requestId.
  • Ações automáticas, como redimensionar um cluster devido ao escalonamento automático ou iniciar uma tarefa devido ao agendamento, são executadas pelo usuário System-User.
  • O campo requestParams está sujeito a truncamento. Se o tamanho de sua representação JSON exceder 100 KB, os valores serão truncados e a string ... truncated será anexada às entradas truncadas. Em casos raros em que um mapa truncado ainda é maior que 100 KB, uma única chave TRUNCATED com um valor vazio está presente.

eventos de conta

Estes são accounts eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
accountsaccountLoginCodeAuthenticationO código de login account de um usuário é autenticado.- user
accountsactivateUserUm usuário é reativado após ser desativado. Consulte Desativar usuários em workspace.- targetUserName - endpoint - targetUserId
accountsaddUm usuário é adicionado a um Databricks workspace.- targetUserName - endpoint - targetUserId
accountsaddPrincipalToGroupUm usuário é adicionado a um grupo de nível workspace.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountsaddX509Uma conta de usuário é adicionada com um certificado X509 para autenticação
accountscertLoginUm usuário faz login em Databricks usando a certificação X509.- user
accountschangeDatabricksSqlAclAs permissões de Databricks SQL de um usuário são alteradas.- shardName - targetUserId - resourceId - aclPermissionSet
accountschangeDatabricksWorkspaceAclAs permissões para um workspace são alteradas.- shardName - targetUserId - resourceId - aclPermissionSet
accountschangeDbTokenAclAs permissões em um token de acesso são alteradas.- shardName - targetUserId - resourceId - aclPermissionSet
accountschangeDbTokenStateA Databricks tokens de acesso está desativada.- tokenHash - tokenState - userId
accountschangePasswordA senha de um usuário é alterada.- newPasswordSource - targetUserId - serviceSource - wasPasswordChanged - userId
accountschangePasswordAclAs permissões de alteração de senha são alteradas no site account.- shardName - targetUserId - resourceId - aclPermissionSet
accountschangeServicePrincipalAclsQuando as permissões de uma entidade de serviço são alteradas.- shardName - targetServicePrincipal - resourceId - aclPermissionSet
accountscreateFederationPolicyUm administrador do account cria uma política de federação do account ou da entidade de serviço.- policy_id - service_principal_id (opcional)
accountscreateGroupÉ criado um grupo de nível workspace.- endpoint - targetUserId - targetUserName
accountscreateIpAccessListUma lista de acesso IP é adicionada ao site workspace.- ipAccessListId - userId
accountsdeactivateUserUm usuário é desativado no site workspace. Consulte Desativar usuários em workspace.- targetUserName - endpoint - targetUserId
accountsdeleteUm usuário é excluído do site Databricks workspace.- targetUserId - targetUserName - endpoint
accountsdeleteFederationPolicyUm administrador do account exclui uma política de federação do account ou da entidade de serviço.- policy_id - service_principal_id (opcional)
accountsdeleteIpAccessListUma lista de acesso IP é excluída do site workspace.- ipAccessListId - userId
accountsgarbageCollectDbTokenUm usuário executa um comando de coleta de lixo em tokens expirado.- tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash
accountsgenerateDbTokenQuando alguém gera um token a partir das Configurações do usuário ou quando o serviço gera os tokens.- tokenExpirationTime - tokenCreatedBy - tokenHash - userId
accountsIpAccessDeniedUm usuário tenta se conectar ao serviço por meio de um IP negado.- path - user - userId
accountsipAccessListQuotaExceeded- userId
accountsjwtLoginUsuário logs em Databricks usando um JWT.- user - authenticationMethod
accountsloginUsuário logs no site workspace.- user - authenticationMethod
accountslogoutUsuário logs fora do workspace.- user
accountsmfaAddKeyO usuário registra uma nova segurança key.
accountsmfaDeleteKeyO usuário exclui uma segurança key.- id
accountsmfaLoginUsuário logs em Databricks usando MFA.- user - authenticationMethod
accountsoidcTokenAuthorizationQuando uma chamada API é autorizada por meio de tokens genéricos OIDC/OAuth.- user - authenticationMethod
accountspasswordVerifyAuthentication- user
accountsreachMaxQuotaDbTokenQuando o número atual de tokens não expirados excede a cota de token
accountsremoveAdminUm usuário tem suas permissões de administrador do workspace revogadas.- targetUserName - endpoint - targetUserId
accountsremoveGroupUm grupo é removido do site workspace.- targetGroupId - targetGroupName - endpoint
accountsremovePrincipalFromGroupUm usuário é removido de um grupo.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountsresetPasswordA senha de um usuário é Redefinida.- serviceSource - userId - endpoint - targetUserId - targetUserName - wasPasswordChanged - newPasswordSource
accountsrevokeDbTokenOs tokens de um usuário são descartados de um workspace. Pode ser acionado quando um usuário é removido do site Databricks account.- userId - tokenHash
accountssamlLoginO usuário faz login em Databricks por meio de SAML SSO.- user - authenticationMethod
accountssetAdminUm usuário recebe permissões de administrador do account.- endpoint - targetUserName - targetUserId
accountstokenLoginUm usuário logs entra em Databricks usando tokens.- tokenId - user - authenticationMethod
accountsupdateFederationPolicyUm administrador do account atualiza uma política de federação do account ou da entidade de serviço.- policy_id - service_principal_id (opcional)
accountsupdateIpAccessListUma lista de acesso IP é alterada.- ipAccessListId - userId
accountsupdateUserUm administrador do account atualiza o account de um usuário.- targetUserName - endpoint - targetUserId
accountsvalidateEmailQuando um usuário valida seu email após a criação do account.- endpoint - targetUserName - targetUserId
accountsworkspaceLoginCodeAuthenticationO código de login com escopo workspacede um usuário é autenticado.- user - authenticationMethod

AI/BI dashboard eventos

Estes são dashboards eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
dashboardsgetDashboardUm usuário acessa a versão preliminar de um painel visualizando-o na interface do usuário ou solicitando a definição do painel usando a API. Somente os usuários do site workspace podem acessar a versão preliminar de um painel.- dashboard_id
dashboardsgetPublishedDashboardUm usuário acessa a versão publicada de um painel visualizando na UI ou solicitando a definição do painel usando a API. Inclui a atividade dos usuários workspace e account. Exclui o recebimento de um Snapshot em PDF de um painel usando o site email.- dashboard_id - credentials_embedded
dashboardsexecuteQueryUm usuário executa uma consulta em um painel.- dashboard_id - statement_id
dashboardscancelQueryUm usuário cancela uma consulta de um painel.- dashboard_id - statement_id
dashboardsgetQueryResultUm usuário recebe os resultados de uma consulta de um painel.- dashboard_id - statement_id
dashboardssendDashboardSnapshotUm Snapshot em PDF de um painel é enviado por meio de um email programado. Os valores dos parâmetros da solicitação dependem do tipo de destinatário. Para um destino de notificação do Databricks, somente o endereço destination_id é mostrado. Para um usuário do site Databricks, são exibidos o ID de usuário do assinante e o endereço email. Se o destinatário for um endereço email, somente o endereço email será mostrado.- dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id, email_address }
dashboardsgetDashboardDetailsUm usuário acessa detalhes de um painel de rascunho, como conjunto de dados e widgets. getDashboardDetails é sempre emitido quando um usuário visualiza um painel de rascunho usando a interface do usuário ou solicita a definição do painel usando API.- dashboard_id
dashboardscreateDashboardUm usuário cria um novo AI/BI dashboard usando a UI ou API.- dashboard_id
dashboardsupdateDashboardUm usuário faz uma atualização em um AI/BI dashboard usando a UI ou API.- dashboard_id
dashboardscloneDashboardUm usuário clona um AI/BI dashboard.- source_dashboard_id - new_dashboard_id
dashboardspublishDashboardUm usuário publica um AI/BI dashboard com ou sem credenciais incorporadas usando a UI ou API.- dashboard_id - credentials_embedded - warehouse_id
dashboardsunpublishDashboardUm usuário cancela a publicação de um AI/BI dashboard usando a interface do usuário ou API.- dashboard_id
dashboardstrashDashboardUm usuário move um AI/BI dashboard para a lixeira usando a UI ou API.- dashboard_id
dashboardsrestoreDashboardUm usuário restaura um AI/BI dashboard da lixeira.- dashboard_id
dashboardsmigrateDashboardUm usuário migra um dashboard DBSQL para um AI/BI dashboard.- source_dashboard_id - new_dashboard_id
dashboardscreateScheduleUm usuário cria um email inscrição programar.- dashboard_id - schedule_id
dashboardsupdateScheduleUm usuário faz uma atualização em um programa do AI/BI dashboard.- dashboard_id - schedule_id
dashboardsdeleteScheduleUm usuário exclui um programa do AI/BI dashboard.- dashboard_id - schedule_id
dashboardscreateSubscriptionUm usuário inscreve um destino email em um programador AI/BI dashboard.- dashboard_id - schedule_id - schedule
dashboardsdeleteSubscriptionUm usuário exclui um destino email de um programa AI/BI dashboard.- dashboard_id - schedule_id

Eventos AI/BI Genie

Estes são aibiGenie eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
aibiGeniecreateSpaceUm usuário cria um novo espaço Genie. O endereço space_id do novo espaço é registrado na coluna response.
aibiGeniegetSpaceUm usuário acessa o espaço do Genie.- space_id
aibiGenieupdateSpaceUm usuário atualiza as configurações de um espaço Genie. As configurações possíveis incluem título, descrição, depósito, tabelas e exemplos de perguntas.- space_id - display_name - description - warehouse_id - table_identifiers
aibiGenietrashSpaceUm espaço Genie é movido para a lixeira.- space_id
aibiGeniecloneSpaceUm usuário clona um espaço Genie.- space_id
aibiGeniecreateConversationUm usuário cria um novo tópico de conversa no espaço do Genie.- space_id
aibiGenielistConversationsUm usuário abre a lista de conversas no espaço do Genie.- space_id
aibiGeniegetConversationUm usuário abre um tópico de conversa no espaço do Genie.- conversation_id - space_id
aibiGenieupdateConversationUm usuário atualiza o título de um tópico de conversa.- conversation_id - space_id
aibiGeniedeleteConversationUm usuário exclui um thread de conversa no espaço do Genie.- conversation_id - space_id
aibiGenielistGenieSpaceMessagesUm usuário com permissões CAN MANAGE acessa o histórico do espaço Genie, que inclui mensagens enviadas por todos os usuários.- space_id
aibiGenielistGenieSpaceUserMessagesUm usuário com pelo menos CAN VIEW permissões acessa o histórico do espaço Genie e visualiza suas próprias mensagens enviadas anteriormente.- space_id
aibiGenieexecuteFullQueryResultUm usuário recupera os resultados completos da consulta (até aproximadamente 1 GB de tamanho).- space_id - conversation_id - message_id
aibiGeniegetMessageQueryResultO Genie recupera os resultados da consulta associados a uma mensagem de conversa.- conversation_id - space_id, message_id
aibiGenieupdateMessageAttachmentUm usuário atualiza e executa novamente uma consulta em uma mensagem.- conversation_id - space_id - message_id - attachment_id
aibiGeniecreateConversationMessageUm usuário envia uma nova mensagem para o espaço do Genie.- conversation_id - space_id
aibiGeniegetConversationMessageUm usuário acessa uma mensagem no espaço do Genie.- conversation_id - space_id - message_id
aibiGeniedeleteConversationMessageUm usuário exclui uma mensagem existente.- conversation_id - space_id - message_id
aibiGenieregenerateConversationMessageUm usuário gera novamente uma resposta do Genie para uma mensagem existente.- conversation_id - space_id - message_id
aibiGenieupdateConversationMessageUm usuário atualiza um atributo de uma mensagem no espaço do Genie. Por exemplo, eles podem solicitar uma revisão ou editar o SQL na resposta.- conversation_id - space_id - message_id
aibiGenieupdateConversationMessageFeedbackUm usuário atualiza o feedback para uma resposta do Genie.- conversation_id - space_id - message_id
aibiGenieexecuteMessageQueryGenie executa o SQL gerado para retornar os resultados da consulta, inclusive as ações de dados do refresh.- conversation_id - space_id - message_id
aibiGeniecancelMessageUm usuário cancela uma mensagem antes que o Genie termine de responder.- conversation_id - space_id - message_id
aibiGeniecreateInstructionUm usuário cria uma instrução para um espaço Genie.- space_id - instruction_type
aibiGenielistInstructionsUm usuário navega para o site de instruções tab ou para o site de dados tab.- space_id
aibiGenieupdateInstructionUm usuário atualiza uma instrução para um espaço Genie.- space_id - instruction_id
aibiGeniedeleteInstructionUm usuário exclui uma instrução para um espaço Genie.- space_id - instruction_id
aibiGenieupdateSampleQuestionsUm usuário atualiza as perguntas de amostra do default para o espaço.- space_id
aibiGeniecreateCuratedQuestionUm usuário cria um exemplo de pergunta ou uma pergunta de referência.- space_id
aibiGeniedeleteCuratedQuestionUm usuário exclui uma amostra de pergunta ou uma pergunta de referência.- space_id - curated_question_id
aibiGenielistCuratedQuestionsUm usuário acessa a lista de exemplos de perguntas ou perguntas de referência em um espaço. Isso é registrado sempre que os usuários abrem um novo chat, view benchmarks ou adicionam exemplos de perguntas.- space_id
aibiGenieupdateCuratedQuestionUm usuário atualiza um exemplo de pergunta ou uma pergunta de referência.- space_id - curated_question_id
aibiGeniecreateEvaluationResultO Genie cria um resultado de avaliação para uma pergunta específica em uma execução de avaliação.- space_id - eval_id
aibiGeniegetEvaluationResultUm usuário acessa os resultados de uma pergunta específica em uma execução de avaliação.- space_id - eval_id
aibiGeniegetEvaluationResultDetailsUm usuário acessa os resultados da consulta para uma pergunta específica em uma execução de avaliação.- space_id - eval_id
aibiGenieupdateEvaluationResultUm usuário atualiza o resultado da avaliação para uma pergunta específica.- space_id - eval_id
aibiGeniecreateEvaluationRunUm usuário cria uma nova execução de avaliação.- space_id
aibiGenielistEvaluationResultsUm usuário acessa a lista de resultados de uma execução de avaliação.- space_id - run_id
aibiGenielistEvaluationRunsUm usuário acessa a lista de todas as execuções de avaliação.- space_id
aibiGeniecreateConversationMessageCommentUm usuário adiciona um comentário de feedback a uma mensagem de conversa.- conversation_id - space_id - message_id
aibiGenielistConversationMessageCommentsUm usuário acessa uma lista dos comentários de feedback de um espaço.- space_id - conversation_ids - message_ids - user_ids - comment_types
aibiGeniedeleteConversationMessageCommentUm usuário exclui um comentário de feedback adicionado a uma mensagem de conversa.- conversation_id - space_id - message_id - message_comment_id

eventos de agrupamento

Estes são cluster eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
clusterschangeClusterAclUm usuário altera o clustering ACL.- shardName - aclPermissionSet - targetUserId - resourceId
clusterscreateUm usuário cria um clustering.- cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine
clusterscreateResultResultados da criação do cluster. Em conjunto com create.- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clustersdeleteUm clustering é encerrado.- cluster_id
clustersdeleteResultResultados do encerramento do clustering. Em conjunto com delete.- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clusterseditUm usuário faz alterações nas configurações de clustering. Isso logs todas as alterações, exceto as alterações no tamanho do clustering ou no comportamento da autoescala.- cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode - runtime_engine
clusterspermanentDeleteUm clustering é excluído da UI.- cluster_id
clustersresizeO clustering é redimensionado. Trata-se de logs em clusters em execução em que a única propriedade que muda é o tamanho do clustering ou o comportamento de autoescala.- cluster_id - num_workers - autoscale
clustersresizeResultResultados do redimensionamento do clustering. Em conjunto com resize.- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clustersrestartUm usuário reinicia os clusters em execução.- cluster_id
clustersrestartResultResultados do reinício do clustering. Em conjunto com restart.- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId
clustersstartUm usuário começa um clustering.- init_scripts_safe_mode - cluster_id
clustersstartResultResultados do clustering começar. Em conjunto com start.- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId

agrupamento de eventos da biblioteca

Estes são clusterLibraries eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
clusterLibrariesinstallLibrariesO usuário instala uma biblioteca em um cluster.- cluster_id - libraries
clusterLibrariesuninstallLibrariesO usuário desinstala uma biblioteca em um cluster.- cluster_id - libraries
clusterLibrariesinstallLibraryOnAllClustersA workspace admin programar a biblioteca para instalar em todos os clusters.- user - library
clusterLibrariesuninstallLibraryOnAllClustersUm administrador do workspace remove uma biblioteca da lista para instalar em todos os clusters.- user - library

Eventos de política de cluster

Estes são clusterPolicies eventos registrados no nível do workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
clusterPoliciescreateUm usuário criou uma política de cluster.- name
clusterPolicieseditUm usuário editou uma política de cluster.- policy_id - name
clusterPoliciesdeleteUm usuário excluiu uma política de cluster.- policy_id
clusterPolicieschangeClusterPolicyAclUm administrador do workspace altera as permissões de uma política de cluster.- shardName - targetUserId - resourceId - aclPermissionSet

Databricks SQL eventos

Estes são databrickssql eventos registrados no nível do workspace.

nota

Se o senhor gerenciar o depósito SQL usando o endpoint legado SQL API, os eventos de auditoria SQL warehouse terão nomes de ação diferentes. Veja SQL endpoint logs.

ServiçoAçãoDescriçãoSolicitar parâmetros
databrickssqladdDashboardWidgetUm widget é adicionado a um painel.- dashboardId - widgetId
databrickssqlcancelQueryExecutionA execução de uma consulta é cancelada na interface do usuário do editor SQL. Isso não inclui os cancelamentos originados da interface do usuário Query History ou do Databricks SQL Execution API.- queryExecutionId
databrickssqlchangeEndpointAclsUm gerente de depósito atualiza as permissões em um site SQL warehouse.- aclPermissionSet - resourceId - shardName - targetUserId
databrickssqlchangePermissionsUm usuário atualiza as permissões em um objeto.- granteeAndPermission - objectId - objectType
databrickssqlcloneDashboardUm usuário clona um painel.- dashboardId
databrickssqlcommandSubmitSomente na auditoria detalhada logs. Gerado quando um comando é enviado para SQL warehouse, independentemente da origem da solicitação.- warehouseId - commandId - validation - commandText
databrickssqlcommandFinishSomente na auditoria detalhada logs. Gerado quando um comando em um SQL warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento.- warehouseId - commandId
databrickssqlcreateAlertUm usuário cria um alerta.- alertId
databrickssqlcreateNotificationDestinationUm administrador do workspace cria um destino de notificação.- notificationDestinationId - notificationDestinationType
databrickssqlcreateDashboardUm usuário cria um painel.- dashboardId
databrickssqlcreateDataPreviewDashboardUm usuário cria um painel de visualização de dados.- dashboardId
databrickssqlcreateWarehouseUm usuário com o direito de criação de clustering cria um SQL warehouse.- auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides
databrickssqlcreateQueryUm usuário cria uma nova consulta.- queryId
databrickssqlcreateQueryDraftUm usuário cria um rascunho de consulta.- queryId
databrickssqlcreateQuerySnippetUm usuário cria um trecho de consulta.- querySnippetId
databrickssqlcreateSampleDashboardUm usuário cria um painel de amostra.- sampleDashboardId
databrickssqlcreateVisualizationUm usuário gera uma visualização usando o editor SQL. Exclui as tabelas e visualizações de resultados do default no Notebook que utilizam o warehouse SQL.- queryId - visualizationId
databrickssqldeleteAlertUm usuário exclui um alerta pela interface de alerta ou pelo site API. Exclui exclusões da interface do usuário do navegador de arquivos.- alertId
databrickssqldeleteNotificationDestinationUm administrador do site workspace exclui um destino de notificação.- notificationDestinationId
databrickssqldeleteDashboardUm usuário exclui um painel na interface do painel ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos.- dashboardId
databrickssqldeleteDashboardWidgetUm usuário exclui um widget do painel.- widgetId
databrickssqldeleteWarehouseUm gerente de depósito exclui um SQL warehouse.- id
databrickssqldeleteQueryUm usuário exclui uma consulta, seja na interface de consulta ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos.- queryId
databrickssqldeleteQueryDraftUm usuário exclui um rascunho de consulta.- queryId
databrickssqldeleteQuerySnippetUm usuário exclui um trecho de consulta.- querySnippetId
databrickssqldeleteVisualizationUm usuário exclui uma visualização de uma consulta no SQL Editor.- visualizationId
databrickssqldownloadQueryResultUm usuário downloads um resultado de consulta do SQL Editor. Exclui downloads de painéis.- fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId
databrickssqleditWarehouseUm gerente de depósito faz edições em um site SQL warehouse.- auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags
databrickssqlexecuteAdhocQueryGerado por um dos seguintes: - Um usuário executa um rascunho de consulta no editor SQL - Uma consulta é executada a partir de uma agregação de visualização - Um usuário carrega um painel e executa consultas subjacentes- dataSourceId
databrickssqlexecuteSavedQueryUm usuário executa uma consulta salva.- queryId
databrickssqlexecuteWidgetQueryGerado por qualquer evento que execute uma consulta, como a atualização de um painel de controle. Alguns exemplos de eventos aplicáveis incluem: - Atualizando um único painel - Atualizando um painel inteiro - Execuções programadas do painel - Alterações de parâmetros ou filtros operando em mais de 64.000 linhas- widgetId
databrickssqlfavoriteDashboardUm usuário adicionou um painel aos favoritos.- dashboardId
databrickssqlfavoriteQueryUm usuário adiciona uma consulta aos favoritos.- queryId
databrickssqlforkQueryUm usuário clona uma consulta.- originalQueryId - queryId
databrickssqllistQueriesUm usuário abre a página de listagem de consultas ou chama a API de consulta de listas.- filter_by - include_metrics - max_results - page_token
databrickssqlmoveAlertToTrashUm usuário move um alerta para a lixeira.- alertId
databrickssqlmoveDashboardToTrashUm usuário move um painel para a lixeira.- dashboardId
databrickssqlmoveQueryToTrashUm usuário move uma consulta para a lixeira.- queryId
databrickssqlrestoreAlertUm usuário restaura um alerta da lixeira.- alertId
databrickssqlrestoreDashboardUm usuário restaura um painel da lixeira.- dashboardId
databrickssqlrestoreQueryUm usuário restaura uma consulta da lixeira.- queryId
databrickssqlsetWarehouseConfigUm gerente de depósito define a configuração para um SQL warehouse.- data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse
databrickssqlsnapshotDashboardUm usuário solicita um Snapshot de um dashboard. Inclui o painel programado Snapshot.- dashboardId
databrickssqlstartWarehouseA SQL warehouse é começar.- id
databrickssqlstopWarehouseUm gerente de depósito interrompe um SQL warehouse. Exclui armazéns com parada automática.- id
databrickssqltransferObjectOwnershipUm administrador de workspace transfere a propriedade de um painel, consulta ou alerta para um usuário ativo por meio da API de transferência de propriedade de objeto. A transferência de propriedade feita por meio da UI ou da atualização APIs não é capturada por esse evento de auditoria log.- newOwner - objectId - objectType
databrickssqlunfavoriteDashboardUm usuário remove um painel de seus favoritos.- dashboardId
databrickssqlunfavoriteQueryUm usuário remove uma consulta de seus favoritos.- queryId
databrickssqlupdateAlertUm usuário faz atualizações em um alerta. ownerUserName é preenchido se a propriedade do alerta for transferida usando a API.- alertId - queryId - ownerUserName
databrickssqlupdateNotificationDestinationUm administrador de workspace faz uma atualização em um destino de notificação.- notificationDestinationId
databrickssqlupdateDashboardWidgetUm usuário faz uma atualização em um widget do painel. Exclui alterações no eixo escala. Exemplos de atualizações aplicáveis incluem: - Alterar o tamanho ou posicionamento do widget - Adicionar ou remover parâmetros do widget- widgetId
databrickssqlupdateDashboardUm usuário faz uma atualização em uma propriedade do painel. Exclui alterações em programar e inscrição. Exemplos de atualizações aplicáveis incluem: - Alteração no nome do painel - Alterar para o SQL warehouse - Alterar para execução As configurações- dashboardId
databrickssqlupdateOrganizationSettingUm administrador de workspace faz atualizações nas configurações de SQL do workspace.- has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions
databrickssqlupdateQueryUm usuário atualiza uma consulta. ownerUserName é preenchido se a propriedade da consulta for transferida usando a API.- queryId - ownerUserName
databrickssqlupdateQueryDraftUm usuário faz uma atualização em um rascunho de consulta.- queryId
databrickssqlupdateQuerySnippetUm usuário atualiza um trecho de consulta.- querySnippetId
databrickssqlupdateVisualizationUm usuário atualiza uma visualização no SQL Editor ou no painel.- visualizationId

Eventos de monitoramento de dados

Os seguintes eventos dataMonitoring são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
dataMonitoringCreateMonitorO usuário cria um monitor.- data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log
dataMonitoringUpdateMonitorO usuário faz uma atualização em um monitor.- data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs
dataMonitoringDeleteMonitorO usuário exclui um monitor.- full_table_name_arg
dataMonitoringRunRefreshO monitor é atualizado, seja por programa ou manualmente.- full_table_name_arg

Eventos DBFS

As tabelas a seguir incluem registros de eventos dbfs no nível workspace.

Há dois tipos de eventos DBFS: Chamadas de API e eventos operacionais.

Eventos da API do DBFS

Os seguintes eventos de auditoria do DBFS são apenas registros quando gravados por meio do DBFS REST API.

ServiçoAçãoDescriçãoSolicitar parâmetros
dbfsaddBlockO usuário anexa um bloco de dados à transmissão. Isso é usado em conjunto com o dbfs/create para transmitir dados para DBFS.- handle - data_length
dbfscreateO usuário abre uma transmissão para gravar um arquivo em DBFs.- path - bufferSize - overwrite
dbfsdeleteO usuário exclui o arquivo ou diretório do dBFS.- recursive - path
dbfsmkdirsO usuário cria um novo diretório DBFS.- path
dbfsmoveO usuário move um arquivo de um local para outro no dBFS.- dst - source_path - src - destination_path
dbfsputO usuário faz o upload de um arquivo por meio do uso de um formulário de várias partes postado em DBFs.- path - overwrite

Eventos operacionais do DBFS

Os seguintes eventos de auditoria do DBFS ocorrem no plano compute.

ServiçoAçãoDescriçãoSolicitar parâmetros
dbfsmountO usuário cria um ponto de montagem em um determinado local do DBFS.- mountPoint - owner
dbfsunmountO usuário remove um ponto de montagem em um determinado local do DBFS.- mountPoint

Delta eventos de pipeline

ServiçoAçãoDescriçãoSolicitar parâmetros
deltaPipelineschangePipelineAclsUm usuário altera as permissões em um pipeline.- shardId - targetUserId - resourceId - aclPermissionSet
deltaPipelinescreateUm usuário cria um pipeline do Delta Live Tables.- allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon
deltaPipelinesdeleteUm usuário exclui um pipeline do Delta Live Tables.- pipeline_id
deltaPipelineseditUm usuário edita um pipeline do Delta Live Tables.- allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon
deltaPipelinesstartUpdateUm usuário reinicia um pipeline do Delta Live Tables.- cause - full_refresh - job_task - pipeline_id
deltaPipelinesstopUm usuário interrompe um pipeline do Delta Live Tables.- pipeline_id

eventos da loja de recursos

Os seguintes eventos featureStore são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
featureStoreaddConsumerUm consumidor é adicionado ao recurso store.- features - job_run - notebook
featureStoreaddDataSourcesUma fonte de dados é adicionada a uma tabela de recursos.- feature_table - paths, tables
featureStoreaddProducerUm produtor é adicionado a uma tabela de recursos.- feature_table - job_run - notebook
featureStorechangeFeatureTableAclAs permissões são alteradas em uma tabela de recursos.- aclPermissionSet - resourceId - shardName - targetUserId
featureStorecreateFeatureTableÉ criada uma tabela de recursos.- description - name - partition_keys - primary_keys - timestamp_keys
featureStorecreateFeaturessão criados em uma tabela de recursos.- feature_table - features
featureStoredeleteFeatureTableUma tabela de recurso é excluída.- name
featureStoredeleteTagsAs tags são excluídas de uma tabela de recursos.- feature_table_id - keys
featureStoregetConsumersUm usuário faz uma chamada para obter os consumidores em uma tabela de recursos.- feature_table
featureStoregetFeatureTableUm usuário faz uma chamada para obter tabelas de recursos.- name
featureStoregetFeatureTablesByIdUm usuário faz uma chamada para obter IDs de tabelas de recurso.- ids
featureStoregetFeaturesUm usuário faz uma chamada para obter um recurso.- feature_table - max_results
featureStoregetModelServingMetadataUm usuário faz uma chamada para obter metadados do modelo de serviço.- feature_table_features
featureStoregetOnlineStoreUm usuário faz uma chamada para obter detalhes do armazenamento on-line.- cloud - feature_table - online_table - store_type
featureStoregetTagsUm usuário faz uma chamada para obter tags para uma tabela de recursos.- feature_table_id
featureStorepublishFeatureTableUma tabela de recursos é publicada.- cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix
featureStoresearchFeatureTablesUm usuário procura por tabelas de recursos.- max_results - page_token - text
featureStoresetTagsAs tags são adicionadas a uma tabela de recursos.- feature_table_id - tags
featureStoreupdateFeatureTableUma tabela de recursos é atualizada.- description - name

Eventos de arquivos

Os seguintes eventos filesystem são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
filesystemfilesGetUsuário downloads um arquivo usando o Files API ou a UI de volumes.- path - transferredSize
filesystemfilesPutO usuário faz upload de um arquivo usando a API Files ou a UI de volumes.- path - receivedSize
filesystemfilesDeleteO usuário exclui um arquivo usando a API Files ou a UI de volumes.- path
filesystemfilesHeadO usuário obtém informações sobre um arquivo usando o Files API ou a UI de volumes.- path

Eventos Genie

Os seguintes eventos genie são registros no nível workspace.

nota

Este serviço não está relacionado a AI/BI Genie spaces. Veja os eventos do AI/BI Genie.

ServiçoAçãoDescriçãoSolicitar parâmetros
geniedatabricksAccessUma equipe da Databricks está autorizada a acessar o ambiente de um cliente.- duration - approver - reason - authType - user

Eventos de credenciais do Git

Os seguintes eventos gitCredentials são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
gitCredentialsgetGitCredentialUm usuário recebe as credenciais do git.- id
gitCredentialslistGitCredentialsUm usuário lista todas as credenciais do gitnenhum
gitCredentialsdeleteGitCredentialUm usuário exclui uma credencial do git.- id
gitCredentialsupdateGitCredentialUm usuário atualiza uma credencial do git.- id - git_provider - git_username
gitCredentialscreateGitCredentialUm usuário cria uma credencial git.- git_provider - git_username

Eventos globais do script de inicialização

Os seguintes eventos globalInitScripts são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
globalInitScriptscreateUm administrador de workspace cria um script de inicialização global.- name - position - script-SHA256 - enabled
globalInitScriptsupdateUm administrador de workspace atualiza um script de inicialização global.- script_id - name - position - script-SHA256 - enabled
globalInitScriptsdeleteUm administrador do workspace exclui um script de inicialização global.- script_id

Eventos para grupos

Os seguintes eventos groups são registros no nível workspace. Essas ações estão relacionadas a grupos ACL herdados. Para ações relacionadas aos grupos de nível account e workspace, consulte eventos de conta e eventos de nível de conta account.

ServiçoAçãoDescriçãoSolicitar parâmetros
groupsaddPrincipalToGroupUm administrador adiciona um usuário a um grupo.- user_name - parent_name
groupscreateGroupUm administrador cria um grupo.- group_name
groupsgetGroupMembersUm administrador visualiza os membros do grupo.- group_name
groupsgetGroupsUm administrador visualiza uma lista de gruposnenhum
groupsgetInheritedGroupsUma visualização de administrador herdou gruposnenhum
groupsremoveGroupUm administrador remove um grupo.- group_name

IAM role eventos

O seguinte evento iamRole é registrado no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
iamRolechangeIamRoleAclUm administrador do workspace altera as permissões de um IAM role.- targetUserId - shardName - resourceId - aclPermissionSet

Eventos de ingestão

O seguinte evento ingestion é registrado no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
ingestionproxyFileUploadUm usuário carrega um arquivo em seu site Databricks workspace.- x-databricks-content-length-0 - x-databricks-total-files

Eventos do pool de instâncias

Os seguintes eventos instancePools são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
instancePoolschangeInstancePoolAclUm usuário altera as permissões de um pool de instâncias.- shardName - resourceId - targetUserId - aclPermissionSet
instancePoolscreateUm usuário cria um pool de instâncias.- enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes
instancePoolsdeleteUm usuário exclui um pool de instâncias.- instance_pool_id
instancePoolseditUm usuário edita um pool de instâncias.- instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes

Job eventos

Os seguintes eventos jobs são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
jobscancelA execução de um trabalho é cancelada.- run_id
jobscancelAllRunsUm usuário cancela toda a execução de um trabalho.- job_id
jobschangeJobAclUm usuário atualiza as permissões em um Job.- shardName - aclPermissionSet - resourceId - targetUserId
jobscreateUm usuário cria um trabalho.- spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as
jobsdeleteUm usuário exclui um trabalho.- job_id
jobsdeleteRunUm usuário exclui a execução de um trabalho.- run_id
jobsgetRunOutputUm usuário faz uma chamada de API para obter uma saída de execução.- run_id - is_from_webapp
jobsrepairRunUm usuário repara a execução de um trabalho.- run_id - latest_repair_id - rerun_tasks
jobsresetUm trabalho é redefinido.- job_id - new_settings
jobsresetJobAclUm usuário solicita a alteração das permissões de um trabalho.- grants - job_id
jobsrunCommandDisponível quando a auditoria detalhada logs está ativada. Emitido depois que um comando em um Notebook é executado por uma execução de trabalho. Um comando corresponde a uma célula em um Notebook.- jobId - runId - notebookId - executionTime - status - commandId - commandText
jobsrunFailedA execução do trabalho falhou.- jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName
jobsrunNowUm usuário aciona a execução de um trabalho sob demanda.- notebook_params - job_id - jar_params - workflow_context
jobsrunStartEmitido quando um trabalho é executado após a validação e a criação do cluster. Os parâmetros de solicitação emitidos por esse evento dependem do tipo de tarefa no Job. Além dos parâmetros listados, eles podem incluir: - dashboardId (para uma tarefa de painel de controle SQL) - filePath (para uma tarefa de arquivo SQL) - notebookPath (para uma tarefa de Notebook) - mainClassName (para uma tarefa Spark JAR) - pythonFile (para uma tarefa Spark JAR) - projectDirectory (para uma tarefa dbt) - commands (para uma tarefa dbt) - packageName (para uma Python wheel tarefa) - entryPoint (para uma Python wheel tarefa) - pipelineId (para uma tarefa de pipeline) - queryIds (para uma tarefa de consulta SQL) - alertId (para uma tarefa de alerta SQL)- taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName
jobsrunSucceededA execução do trabalho foi bem-sucedida.- idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName
jobsrunTriggeredUm programador de trabalho é acionado automaticamente de acordo com seu programador ou acionador.- jobId - jobTriggeredType - runId
jobssendRunWebhookUm webhook é enviado quando o trabalho começa, é concluído ou falha.- orgId - jobId - jobWebhookId - jobWebhookEvent - runId
jobssetTaskValueUm usuário define valores para uma tarefa.- run_id - key
jobssubmitRunUm usuário envia uma execução única por meio da API.- shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task
jobsupdateUm usuário edita as configurações de um trabalho.- job_id - fields_to_remove - new_settings - is_from_dlt

Eventos de acompanhamento da linhagem

Os seguintes eventos lineageTracking são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
lineageTrackinglistColumnLineagesUm usuário acessa a lista das colunas upstream ou downstream de uma coluna.- table_name - column_name - lineage_direction: A direção da linhagem (UPSTREAM ou DOWNSTREAM).
lineageTrackinglistSecurableLineagesBySecurableUm usuário acessa a lista de protegíveis upstream ou downstream de um protegível.- securable_full_name - securable_type - lineage_direction: A direção da linhagem (UPSTREAM ou DOWNSTREAM).
lineageTrackinglistEntityLineagesBySecurableUm usuário acessa a lista de entidades (Notebook, Job, etc.) que gravam ou leem um securable.- securable_full_name - securable_type - lineage_direction: A direção da linhagem (UPSTREAM ou DOWNSTREAM). - entity_response_filter: O tipo de entidade (Notebook, Job, dashboard, pipeline, query, serving endpoint, etc.).
lineageTrackinggetColumnLineagesUm usuário obtém as linhagens das colunas de uma tabela e sua coluna.- table_name - column_name
lineageTrackinggetTableEntityLineagesUm usuário obtém as linhagens upstream e downstream de uma tabela.- table_name - include_entity_lineage
lineageTrackinggetJobTableLineagesUm usuário obtém as linhagens de tabelas upstream e downstream de um Job.- job_id
lineageTrackinggetFunctionLineagesUm usuário obtém as entidades e os itens de segurança upstream e downstream (Notebook, Job, etc.) de uma função.- function_name
lineageTrackinggetModelVersionLineagesUm usuário obtém as entidades e os itens de segurança upstream e downstream (Notebook, Job, etc.) de um modelo e sua versão.- model_name - version
lineageTrackinggetEntityTableLineagesUm usuário obtém as tabelas upstream e downstream de uma entidade (Notebook, Job, etc.).- entity_type - entity_id
lineageTrackinggetFrequentlyJoinedTablesUm usuário obtém as tabelas frequentemente unidas de uma tabela.- table_name
lineageTrackinggetFrequentQueryByTableUm usuário recebe as consultas frequentes de uma tabela.- source_table_name
lineageTrackinggetFrequentUserByTableUm usuário recebe os usuários frequentes de uma tabela.- table_name
lineageTrackinggetTablePopularityByDateUm usuário obtém a popularidade (contagem de consultas) de uma tabela no último mês.- table_name
lineageTrackinggetPopularEntitiesUm usuário obtém as entidades populares (Notebook, Job, etc.) para uma tabela.- scope: Especifica o escopo para a recuperação de entidades populares, seja a partir do site workspace ou do nome da tabela. - table_name
lineageTrackinggetPopularTablesUm usuário obtém as informações de popularidade da tabela para uma lista de tabelas.- scope: especifica o escopo para recuperar tabelas populares, seja do metastore ou da lista de tabelas. - table_name_list

marketplace eventos para consumidores

Os seguintes eventos marketplaceConsumer são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
marketplaceConsumergetDataProductUm usuário obtém acesso a um produto de dados por meio do Databricks Marketplace.- listing_id - listing_name - share_name - catalog_name - request_context: Matriz de informações sobre o account e o metastore que obteve acesso aos dados do produto
marketplaceConsumerrequestDataProductUm usuário solicita acesso a um produto de dados que requer aprovação do provedor.- listing_id - listing_name - catalog_name - request_context: Matriz de informações sobre o account e o metastore solicitando acesso aos dados do produto

Eventos do provedor de marketplace

Os seguintes eventos marketplaceProvider são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
marketplaceProvidercreateListingUm administrador da metastore cria uma listagem em seu perfil de provedor.- listing: Conjunto de detalhes sobre o anúncio - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProviderupdateListingUm administrador da Metastore atualiza uma listagem em seu perfil de provedor.- id - listing: Conjunto de detalhes sobre o anúncio - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProviderdeleteListingUm administrador da metastore exclui uma listagem em seu perfil de provedor.- id - request_context: Matriz de detalhes sobre o account e o metastore do provedor
marketplaceProviderupdateConsumerRequestStatusOs administradores do metastore aprovam ou negam uma solicitação de produto de dados.- listing_id - request_id - status - reason - share: Array de informações sobre a ação - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProvidercreateProviderProfileUm administrador da metastore cria um perfil de provedor.- provider: Matriz de informações sobre o provedor - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProviderupdateProviderProfileUm administrador da Metastore atualiza seu perfil de provedor.- id - provider: Matriz de informações sobre o provedor - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProviderdeleteProviderProfileUm administrador da metastore exclui seu perfil de provedor.- id - request_context: Matriz de informações sobre o account e o metastore do provedor
marketplaceProvideruploadFileUm provedor faz upload de um arquivo em seu perfil de provedor.- request_context: Matriz de informações sobre o account e o metastore do provedor - marketplace_file_type - display_name - mime_type - file_parent: Matriz de detalhes do arquivo principal
marketplaceProviderdeleteFileUm provedor exclui um arquivo de seu perfil de provedor.- file_id - request_context: Matriz de informações sobre o account e o metastore do provedor

Artefatos do MLflow com eventos ACL

Os seguintes eventos mlflowAcledArtifact são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
mlflowAcledArtifactreadArtifactUm usuário faz uma chamada para ler um artefato.- artifactLocation - experimentId - runId
mlflowAcledArtifactwriteArtifactUm usuário faz uma chamada para gravar em um artefato.- artifactLocation - experimentId - runId

Eventos do experimento MLflow

Os seguintes eventos mlflowExperiment são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
mlflowExperimentcreateMlflowExperimentUm usuário cria um experimento MLflow.- experimentId - path - experimentName
mlflowExperimentdeleteMlflowExperimentUm usuário exclui um experimento do MLflow.- experimentId - path - experimentName
mlflowExperimentmoveMlflowExperimentUm usuário move um experimento do MLflow.- newPath - experimentId - oldPath
mlflowExperimentrestoreMlflowExperimentUm usuário restaura um experimento do MLflow.- experimentId - path - experimentName
mlflowExperimentrenameMlflowExperimentUm usuário renomeia um experimento do MLflow.- oldName - newName - experimentId - parentPath

MLflow registro de modelo de eventos

Os seguintes eventos mlflowModelRegistry são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
modelRegistryapproveTransitionRequestUm usuário aprova uma solicitação de transição de estágio de versão de modelo.- name - version - stage - archive_existing_versions
modelRegistrychangeRegisteredModelAclUm usuário atualiza as permissões de um modelo registrado.- registeredModelId - userId
modelRegistrycreateCommentUm usuário publica um comentário sobre uma versão modelo.- name - version
modelRegistrycreateModelVersionUm usuário cria uma versão do modelo.- name - source - run_id - tags - run_link
modelRegistrycreateRegisteredModelUm usuário cria um novo modelo registrado- name - tags
modelRegistrycreateRegistryWebhookO usuário cria um webhook para eventos do Model Registry.- orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec
modelRegistrycreateTransitionRequestUm usuário cria uma solicitação de transição de estágio de versão de modelo.- name - version - stage
modelRegistrydeleteCommentUm usuário exclui um comentário em uma versão do modelo.- id
modelRegistrydeleteModelVersionUm usuário exclui uma versão do modelo.- name - version
modelRegistrydeleteModelVersionTagUm usuário exclui uma tag de versão do modelo.- name - version - key
modelRegistrydeleteRegisteredModelUm usuário exclui um modelo registrado- name
modelRegistrydeleteRegisteredModelTagUm usuário exclui a tag de um modelo registrado.- name - key
modelRegistrydeleteRegistryWebhookO usuário exclui um webhook do Model Registry.- orgId - webhookId
modelRegistrydeleteTransitionRequestUm usuário cancela uma solicitação de transição de estágio de versão de modelo.- name - version - stage - creator
modelRegistryfinishCreateModelVersionAsyncCópia assíncrona do modelo concluída.- name - version
modelRegistrygenerateBatchInferenceNotebooklotes inference Notebook é gerado automaticamente.- userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath
modelRegistrygenerateDltInferenceNotebookInference Notebook for a Delta Live Tables pipeline é gerado automaticamente.- userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath
modelRegistrygetModelVersionDownloadUriUm usuário obtém um URI para download a versão do modelo.- name - version
modelRegistrygetModelVersionSignedDownloadUriUm usuário obtém um URI para download uma versão de modelo assinada.- name - version - path
modelRegistrylistModelArtifactsUm usuário faz uma chamada para listar os artefatos de um modelo.- name - version - path - page_token
modelRegistrylistRegistryWebhooksUm usuário faz uma chamada para listar todos os webhooks de registro no modelo.- orgId - registeredModelId
modelRegistryrejectTransitionRequestUm usuário rejeita uma solicitação de transição de estágio de versão de modelo.- name - version - stage
modelRegistryrenameRegisteredModelUm usuário renomeia um modelo registrado- name - new_name
modelRegistrysetEmailSubscriptionStatusUm usuário atualiza o status de email inscrição de um modelo registrado
modelRegistrysetModelVersionTagUm usuário define uma tag de versão do modelo.- name - version - key - value
modelRegistrysetRegisteredModelTagUm usuário define uma tag de versão do modelo.- name - key - value
modelRegistrysetUserLevelEmailSubscriptionStatusUm usuário atualiza o status das notificações do email para todo o registro.- orgId - userId - subscriptionStatus
modelRegistrytestRegistryWebhookUm usuário testa o webhook do Model Registry.- orgId - webhookId
modelRegistrytransitionModelVersionStageUm usuário obtém uma lista de todas as solicitações de transição de estágio abertas para a versão do modelo.- name - version - stage - archive_existing_versions
modelRegistrytriggerRegistryWebhookUm webhook do Model Registry é acionado por um evento.- orgId - registeredModelId - events - status
modelRegistryupdateCommentUm usuário publica uma edição em um comentário sobre uma versão do modelo.- id
modelRegistryupdateRegistryWebhookUm usuário atualiza um webhook do Model Registry.- orgId - webhookId

servindo modelo eventos

Os seguintes eventos serverlessRealTimeInference são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
serverlessRealTimeInferencechangeInferenceEndpointAclO usuário atualiza as permissões para uma inferência endpoint.- shardName - targetUserId - resourceId - aclPermissionSet
serverlessRealTimeInferencecreateServingEndpointO usuário cria um modelo de serviço endpoint.- name - config
serverlessRealTimeInferencedeleteServingEndpointO usuário exclui um modelo de serviço endpoint.- name
serverlessRealTimeInferencedisableO usuário desativa o serviço de modelo para um modelo registrado.- registered_mode_name
serverlessRealTimeInferenceenableO usuário habilita o servindo modelo para um modelo registrado.- registered_mode_name
serverlessRealTimeInferencegetQuerySchemaPreviewOs usuários fazem uma chamada para obter a visualização prévia do esquema de consulta.- endpoint_name
serverlessRealTimeInferenceupdateServingEndpointO usuário atualiza o modelo de serviço endpoint.- name - served_models - traffic_config
serverlessRealTimeInferenceupdateInferenceEndpointRateLimitsO usuário atualiza os limites de taxa para um endpoint de inferência. Os limites de taxa se aplicam apenas ao Foundation Model APIs pay-per-tokens e ao endpoint de modelo externo.- name - rate_limits

Notebook eventos

Os seguintes eventos notebook são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
notebookattachNotebookUm Notebook é anexado a um clustering.- path - clusterId - notebookId
notebookcloneNotebookUm usuário clona um Notebook.- notebookId - path - clonedNotebookId - destinationPath
notebookcreateNotebookÉ criado um Notebook.- notebookId - path
notebookdeleteFolderUma pasta Notebook é excluída.- path
notebookdeleteNotebookUm Notebook é excluído.- notebookId - notebookName - path
notebookdetachNotebookUm Notebook é desvinculado de um clustering.- notebookId - clusterId - path
notebookdownloadLargeResultsUm usuário downloads consulta resultados muito grandes para serem exibidos no Notebook.- notebookId - notebookFullPath
notebookdownloadPreviewResultsUm usuário downloads os resultados da consulta.- notebookId - notebookFullPath
notebookimportNotebookUm usuário importa um Notebook.- path
notebookmoveFolderUma pasta do Notebook é movida de um local para outro.- oldPath - newPath - folderId
notebookmoveNotebookUm Notebook é movido de um local para outro.- newPath - oldPath - notebookId
notebookrenameNotebookUm Notebook é renomeado.- newName - oldName - parentPath - notebookId
notebookrestoreFolderUma pasta excluída é restaurada.- path
notebookrestoreNotebookUm Notebook excluído é restaurado.- path - notebookId - notebookName
notebookrunCommandDisponível quando a auditoria detalhada logs está ativada. Emitido após Databricks executar um comando em um Notebook. Um comando corresponde a uma célula em um Notebook. executionTime é medido em segundos.- notebookId - executionTime - status - commandId - commandText - commandLanguage
notebooktakeNotebookSnapshotNotebook Os instantâneos são tirados quando o serviço Job ou o mlflow é executado.- path

Eventos do Partner Connect

Os seguintes eventos partnerHub são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
partnerHubcreateOrReusePartnerConnectionUm administrador do workspace estabelece uma conexão com as soluções de um parceiro.- partner_name
partnerHubdeletePartnerConnectionUm administrador do workspace exclui a conexão de um parceiro.- partner_name
partnerHubdownloadPartnerConnectionFileUm administrador do workspace downloads o arquivo de conexão dos parceiros.- partner_name
partnerHubsetupResourcesForPartnerConnectionUm administrador do workspace configura o recurso para uma conexão de parceiros.- partner_name

Eventos de otimização preditiva

Os seguintes eventos predictiveOptimization são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
predictiveOptimizationPutMetricsRegistrados quando a otimização preditiva atualiza as métricas da tabela e da carga de trabalho para que o serviço possa programar operações de otimização de forma mais inteligente.- table_metrics_list - start_time - end_time

Eventos de serviço de história remota

Os seguintes eventos RemoteHistoryService são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
RemoteHistoryServiceaddUserGitHubCredentialsO usuário adiciona credenciais do Githubnenhum
RemoteHistoryServicedeleteUserGitHubCredentialsO usuário remove as credenciais do Githubnenhum
RemoteHistoryServiceupdateUserGitHubCredentialsO usuário atualiza as credenciais do Githubnenhum

Eventos da pasta Git

Os seguintes eventos repos são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
reposcheckoutBranchUm usuário verifica uma ramificação no repositório.- id - branch
reposcommitAndPushUm usuário faz o commit e o push em um repositório.- id - message - files - checkSensitiveToken
reposcreateRepoUm usuário cria um repositório no workspace- url - provider - path
reposdeleteRepoUm usuário exclui um repositório.- id
reposdiscardUm usuário descarta um commit em um repositório.- id - file_paths
reposgetRepoUm usuário faz uma chamada para obter informações sobre um único repositório.- id
reposlistReposUm usuário faz uma chamada para obter todos os repositórios nos quais tem permissões de gerenciar.- path_prefix - next_page_token
repospullUm usuário extrai o último commit de um repositório.- id
reposupdateRepoUm usuário atualiza o repositório para um branch ou tag diferente, ou para o commit mais recente no mesmo branch.- id - branch - tag - git_url - git_provider

Eventos secretos

Os seguintes eventos secrets são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
secretscreateScopeO usuário cria um escopo secreto.- scope - initial_manage_principal - scope_backend_type
secretsdeleteAclO usuário exclui ACLs de um escopo secreto.- scope - principal
secretsdeleteScopeO usuário exclui um escopo secreto.- scope
secretsdeleteSecretO usuário exclui um segredo de um escopo.- key - scope
secretsgetAclO usuário obtém ACLs para um escopo secreto.- scope - principal
secretsgetSecretO usuário obtém um segredo de um escopo.- key - scope
secretslistAclsO usuário faz uma chamada para listar ACLs para um escopo secreto.- scope
secretslistScopesO usuário faz uma chamada para a lista Secret Scopenenhum
secretslistSecretsO usuário faz uma chamada para listar segredos dentro de um escopo.- scope
secretsputAclO usuário altera as ACLs de um escopo secreto.- scope - principal - permission
secretsputSecretO usuário adiciona ou edita um segredo dentro de um escopo.- string_value - key - scope

Eventos de acesso à tabela SQL

nota

O serviço sqlPermissions inclui eventos relacionados ao legado Hive metastore controle de acesso da tabela. Databricks recomenda que o senhor atualize as tabelas gerenciadas pelo Hive metastore para o metastore Unity Catalog.

Os seguintes eventos sqlPermissions são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
sqlPermissionschangeSecurableOwnerO administrador do espaço de trabalho ou o proprietário de um objeto transfere a propriedade do objeto.- securable - principal
sqlPermissionscreateSecurableO usuário cria um objeto protegível.- securable
sqlPermissionsdenyPermissionO proprietário do objeto nega privilégios em um objeto protegível.- permission
sqlPermissionsgrantPermissionO proprietário do objeto concede permissão em um objeto protegível.- permission
sqlPermissionsremoveAllPermissionsO usuário derruba um objeto protegível.- securable
sqlPermissionsrenameSecurableO usuário renomeia um objeto protegível.- before - after
sqlPermissionsrequestPermissionsO usuário solicita permissões em um objeto protegível.- requests
sqlPermissionsrevokePermissionO proprietário do objeto revoga as permissões em seu objeto protegível.- permission
sqlPermissionsshowPermissionsPermissões de objetos seguros de visualização do usuário.- securable - principal

Eventos SSH

Os seguintes eventos ssh são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
sshloginLogin do agente do SSH no driver do Spark.- containerId - userName - port - publicKey - instanceId
sshlogoutLogout do agente do SSH do driver do Spark.- userName - containerId - instanceId

Eventos de pesquisa vetorial

Os seguintes eventos vectorSearch são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
vectorSearchcreateEndpointO usuário cria uma pesquisa vetorial endpoint.- name - endpoint_type
vectorSearchdeleteEndpointO usuário exclui uma pesquisa vetorial endpoint.- name
vectorSearchcreateVectorIndexO usuário cria um índice de pesquisa vetorial.- name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec
vectorSearchdeleteVectorIndexO usuário exclui um índice de pesquisa vetorial.- name - endpoint_name - delete_embedding_writeback_table
vectorSearchchangeEndpointAclO usuário altera a lista de controle de acesso de um endpoint.- name - endpoint_name - access_control_list
vectorSearchqueryVectorIndexO usuário consulta um índice de pesquisa vetorial.- name - endpoint_name
vectorSearchqueryVectorIndexNextPageO usuário lê os resultados paginados de uma consulta de índice de pesquisa vetorial.- name - endpoint_name
vectorSearchscanVectorIndexO usuário verifica todos os dados em um índice de pesquisa vetorial.- name - endpoint_name
vectorSearchupsertDataVectorIndexO usuário insere os dados em um índice de pesquisa vetorial do Direct Access.- name - endpoint_name
vectorSearchdeleteDataVectorIndexO usuário exclui dados em um índice de pesquisa vetorial do Direct Access.- name - endpoint_name
vectorSearchqueryVectorIndexRouteOptimizedO usuário consulta um índice de pesquisa vetorial usando uma rota de API de baixa latência.- name - endpoint_name
vectorSearchqueryVectorIndexNextPageRouteOptimizedO usuário lê os resultados paginados de uma consulta de índice de pesquisa vetorial usando uma rota de API de baixa latência.- name - endpoint_name
vectorSearchscanVectorIndexRouteOptimizedO usuário faz a varredura de todos os dados em um índice de pesquisa vetorial usando uma rota de API de baixa latência.- name - endpoint_name
vectorSearchupsertDataVectorIndexRouteOptimizedO usuário insere dados em um índice de pesquisa vetorial Direct Access usando uma rota de API de baixa latência.- name - endpoint_name
vectorSearchdeleteDataVectorIndexRouteOptimizedO usuário exclui dados em um índice de pesquisa vetorial Direct Access usando uma rota de API de baixa latência.- name - endpoint_name

Eventos de terminal web

Os seguintes eventos webTerminal são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
webTerminalstartSessionO usuário começa uma sessão de terminal da Web.- socketGUID - clusterId - serverPort - ProxyTargetURI
webTerminalcloseSessionO usuário fecha uma sessão de terminal web.- socketGUID - clusterId - serverPort - ProxyTargetURI

eventos do espaço de trabalho

Os seguintes eventos workspace são registros no nível workspace.

ServiçoNome da açãoDescriçãoSolicitar parâmetros
workspacechangeWorkspaceAclAs permissões para o site workspace são alteradas.- shardName - targetUserId - aclPermissionSet - resourceId
workspacedeleteSettingUma configuração é excluída do site workspace.- settingKeyTypeName - settingKeyName - settingTypeName - settingName
workspacefileCreateO usuário cria um arquivo no site workspace.- path
workspacefileDeleteO usuário exclui um arquivo no site workspace.- path
workspacefileEditorOpenEventO usuário abre o editor de arquivos.- notebookId - path
workspacegetRoleAssignmentO usuário obtém as funções de usuário do workspace.- account_id - workspace_id
workspacemintOAuthAuthorizationCodeRegistrado quando o código de autorização interno OAuth é criado no nível workspace.- client_id
workspacemintOAuthTokenOAuth Os tokens são cunhados para workspace.- grant_type - scope - expires_in - client_id
workspacemoveWorkspaceNodeUm administrador de workspace move o nó workspace.- destinationPath - path
workspacepurgeWorkspaceNodesUm administrador do workspace remove os nós do workspace.- treestoreId
workspacereattachHomeFolderUma pasta home existente é anexada novamente para um usuário que é adicionado novamente ao site workspace.- path
workspacerenameWorkspaceNodeUm administrador de workspace renomeia os nós de workspace.- path - destinationPath
workspaceunmarkHomeFolderOs atributos especiais da pasta home são removidos quando um usuário é removido do site workspace.- path
workspaceupdateRoleAssignmentUm administrador de workspace atualiza a função de um usuário de workspace.- account_id - workspace_id - principal_id
workspaceupdatePermissionAssignmentUm administrador do site workspace adiciona um diretor ao site workspace.- principal_id - permissions
workspacesetSettingUm administrador de workspace define uma configuração de workspace.- settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
workspaceworkspaceConfEditO administrador do workspace faz atualizações em uma configuração, por exemplo, ativando a auditoria detalhada logs.- workspaceConfKeys - workspaceConfValues
workspaceworkspaceExportO usuário exporta um Notebook de um site workspace.- workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath
workspaceworkspaceInHouseOAuthClientAuthenticationOAuth O cliente é autenticado em workspace serviço.- user

eventos de controle de acesso à conta

Os eventos accountsAccessControl a seguir são registros no nível account e estão relacionados à conta Access Control API (Public Preview).

ServiçoNome da açãoDescriçãoSolicitar parâmetros
accountsAccessControlupdateRuleSetUm usuário atualiza um conjunto de regras usando a conta Access Control API.- account_id - name: Nome do conjunto de regras - rule_set - authz_identity

Eventos de uso faturáveis

Os seguintes eventos accountBillableUsage são registros no nível account.

ServiçoAçãoDescriçãoSolicitar parâmetros
accountBillableUsagegetAggregatedUsageO usuário acessou o uso agregado faturável (uso por dia) para o site account por meio do recurso Usage gráfico.- account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter
accountBillableUsagegetDetailedUsageO usuário acessou o uso faturável detalhado (uso para cada clustering) para o site account por meio do recurso de download Usage.- account_id - start_month - end_month - with_pii

eventos em nível de conta account

Os seguintes eventos accounts são registros no nível account.

ServiçoAçãoDescriçãoSolicitar parâmetros
accountsaccountInHouseOAuthClientAuthenticationUm cliente OAuth é autenticado.- endpoint - user: registra-se como um endereço email - authenticationMethod
accountsaccountIpAclsValidationFailedA validação das permissões de IP falha. Retorna o StatusCode 403.- sourceIpAddress - user: registra-se como um endereço email
accountsactivateUserUm usuário é reativado após ser desativado. Consulte Desativar usuários em account.- targetUserName - endpoint - targetUserId
accountsaddUm usuário é adicionado ao site Databricks account.- targetUserName - endpoint - targetUserId
accountsaddPrincipalToGroupUm usuário é adicionado a um grupo de nível account.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountsaddPrincipalsToGroupOs usuários são adicionados a um grupo de nível accountusando o provisionamento SCIM.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountscreateGroupÉ criado um grupo de nível account.- endpoint - targetGroupId - targetGroupName
accountsdeactivateUserUm usuário está desativado. Consulte Desativar usuários em account.- targetUserName - endpoint - targetUserId
accountsdeleteUm usuário é excluído do site Databricks account.- targetUserId - targetUserName - endpoint
accountsdeleteSettingO administrador da conta remove uma configuração do site Databricks account.- settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
accountsgarbageCollectDbTokenUm usuário executa um comando de coleta de lixo em tokens expirado.- tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed - tokenHash
accountsgenerateDbTokenO usuário gera tokens a partir das Configurações do usuário ou quando o serviço gera os tokens.- tokenExpirationTime - tokenCreatedBy - tokenHash - userId
accountsloginUm usuário logs acessa o console account.- user - authenticationMethod
accountslogoutUm usuário logs sai do console account.- user
accountsmintOAuthAuthorizationCodeRegistrado quando o código de autorização interno OAuth é criado no nível account.- client_id
accountsmintOAuthTokenUm token account-level OAuth é emitido para a entidade de serviço.- grant_type - scope - expires_in - client_id
accountsoidcBrowserLoginUm usuário logs em seu account com o fluxo de trabalho do navegador OpenID Connect.- user
accountsoidcTokenAuthorizationUm token do OIDC é autenticado para um login de administrador do account.- user - authenticationMethod
accountspasswordVerifyAuthenticationA senha de um usuário é verificada durante o login no console account.- user
accountsremoveAccountAdminUm administrador do account remove as permissões de administrador do account de outro usuário.- targetUserName - endpoint - targetUserId
accountsremoveGroupUm grupo é removido do site account.- targetGroupId - targetGroupName - endpoint
accountsremovePrincipalFromGroupUm usuário é removido de um grupo de nível account.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountsremovePrincipalsFromGroupOs usuários são removidos de um grupo de nível accountusando o provisionamento SCIM.- targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName
accountssetAccountAdminUm administrador de account atribui a função de administrador de account a outro usuário.- targetUserName - endpoint - targetUserId
accountssetSettingUm administrador de account atualiza uma configuração de nível de account.- settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit
accountstokenLoginUm usuário logs entra em Databricks usando tokens.- tokenId - user - authenticationMethod
accountsupdateUserUm administrador de account atualiza um usuário account.- targetUserName - endpoint - targetUserId
accountsupdateGroupUm administrador de account atualiza um grupo de nível account.- endpoint - targetGroupId - targetGroupName
accountsvalidateEmailQuando um usuário valida seu email após a criação do account.- endpoint - targetUserName - targetUserId

eventos de gerenciamento de contas

Os seguintes eventos accountsManager são registros no nível account. Esses eventos estão relacionados às configurações feitas pelos administradores do account no console account.

ServiçoAçãoDescriçãoSolicitar parâmetros
accountsManageracceptTosO administrador aceita os termos de serviço do workspace.- workspace_id
accountsManageraccountUserResetPasswordaccount admin Redefine a senha de um usuário. Também logs se o usuário alterou a senha após a redefinição.- wasPasswordChanged - serviceSource - targetUserId - userId - newPasswordSource
accountsManagerchangeAccountOwnerA função de proprietário da conta é transferida para outro administrador do site account.- account_id - first_name - last_name - email
accountsManagerconsolidateAccountsO account foi consolidado com outro account pelo Databricks.- target_account_id - account_ids_to_consolidate
accountsManagercreateCredentialsConfigurationO administrador da conta criou uma configuração de credenciais.- credentials
accountsManagercreateCustomerManagedKeyConfigurationO administrador da conta criou uma configuração para gerenciar o cliente key.- customer_managed_key
accountsManagercreateNetworkConfigurationO administrador da conta criou uma configuração de rede.- network
accountsManagercreateNetworkConnectivityConfigO administrador da conta criou uma configuração de conectividade de rede.- network_connectivity_config - account_id
accountsManagercreatePrivateAccessSettingsO administrador da conta criou uma configuração de definições de acesso privado.- private_access_settings
accountsManagercreateStorageConfigurationO administrador da conta criou uma configuração de armazenamento.- storage_configuration
accountsManagercreateVpcEndpointO administrador da conta criou uma configuração VPC endpoint .- vpc_endpoint
accountsManagercreateWorkspaceConfigurationO administrador da conta cria um novo workspace. O parâmetro de solicitação workspace é uma matriz de informações de implantação, incluindo workspace_name. Você pode encontrar o workspace_id no parâmetro response.result.- workspace
accountsManagerdeleteCredentialsConfigurationO administrador da conta excluiu uma configuração de credenciais.- account_id - credentials_id
accountsManagerdeleteCustomerManagedKeyConfigurationO administrador da conta excluiu uma configuração do gerenciador de clientes key.- account_id - customer_managed_key_id
accountsManagerdeleteNetworkConfigurationO administrador da conta excluiu uma configuração de rede.- account_id - network_id
accountsManagerdeletePrivateAccessSettingsO administrador da conta excluiu uma configuração de definições de acesso privado.- account_id - private_access_settings_id
accountsManagerdeleteStorageConfigurationO administrador da conta excluiu uma configuração de armazenamento.- account_id - storage_configuration_id
accountsManagerdeleteVpcEndpointO administrador da conta excluiu uma configuração VPC endpoint .- account_id - vpc_endpoint_id
accountsManagerdeleteWorkspaceConfigurationO administrador da conta excluiu um workspace.- account_id - workspace_id
accountsManagergetCredentialsConfigurationO administrador da conta solicita detalhes sobre uma configuração de credenciais.- account_id - credentials_id
accountsManagergetCustomerManagedKeyConfigurationO administrador da conta solicita detalhes sobre uma configuração do gerenciador de clientes key.- account_id - customer_managed_key_id
accountsManagergetNetworkConfigurationO administrador da conta solicita detalhes sobre uma configuração de rede.- account_id - network_id
accountsManagergetPrivateAccessSettingsO administrador da conta solicita detalhes sobre uma configuração de definições de acesso privado.- account_id - private_access_settings_id
accountsManagergetStorageConfigurationO administrador da conta solicita detalhes sobre uma configuração de armazenamento.- account_id - storage_configuration_id
accountsManagergetVpcEndpointO administrador da conta solicita detalhes sobre uma configuração VPC endpoint .- account_id - vpc_endpoint_id
accountsManagergetWorkspaceConfigurationO administrador da conta solicita detalhes sobre um workspace.- account_id - workspace_id
accountsManagerlistCredentialsConfigurationsO administrador da conta lista todas as configurações de credenciais no site account.- account_id
accountsManagerlistCustomerManagedKeyConfigurationsO administrador da conta lista todas as configurações do gerenciador de clientes key no site account.- account_id
accountsManagerlistNetworkConfigurationsO administrador da conta lista todas as configurações de rede no site account.- account_id
accountsManagerlistPrivateAccessSettingsO administrador da conta lista todas as configurações de acesso privado no site account.- account_id
accountsManagerlistStorageConfigurationsO administrador da conta lista todas as configurações de armazenamento no site account.- account_id
accountsManagerlistSubscriptionsO administrador da conta lista todas as inscrições de cobrança do account.- account_id
accountsManagerlistVpcEndpointsO administrador da conta listou todas as configurações do VPC endpoint para o account.- account_id
accountsManagerlistWorkspaceConfigurationsO administrador da conta lista todos os workspace no site account.- account_id
accountsManagerlistWorkspaceEncryptionKeyRecordsO administrador da conta lista todos os registros de criptografia key em um workspace específico.- account_id - workspace_id
accountsManagerlistWorkspaceEncryptionKeyRecordsForAccountO administrador da conta lista todos os registros de criptografia key em account.- account_id
accountsManagersendTosUm email foi enviado a um administrador do workspace para aceitar os Termos de serviço do Databricks.- account_id - workspace_id
accountsManagerupdateAccountOs detalhes do site account foram alterados internamente.- account_id - account
accountsManagerupdateSubscriptionA inscrição de faturamento account foi atualizada.- account_id - subscription_id - subscription
accountsManagerupdateWorkspaceConfigurationO administrador atualizou a configuração de um workspace.- account_id - workspace_id - network_connectivity_config_id

Eventos de política orçamentária

Os eventos budgetPolicyCentral a seguir são logs no nível account e estão relacionados a políticas de orçamento. Consulte Atributo serverless uso com políticas orçamentárias.

ServiçoAçãoDescriçãoSolicitar parâmetros
budgetPolicyCentralcreateBudgetPolicyO administrador do espaço de trabalho ou o administrador de faturamento cria uma política de orçamento. O novo policy_id é registrado na coluna response.- policy_name
budgetPolicyCentralupdateBudgetPolicyO administrador do espaço de trabalho, o administrador de faturamento ou o gerente de políticas atualiza uma política de orçamento.- policy.policy_id - policy.policy_name
budgetPolicyCentralupdateBudgetPolicyO administrador do espaço de trabalho, o administrador de faturamento ou o gerente de políticas exclui uma política orçamentária.- policy_id

Eventos Clean Rooms

Os seguintes eventos clean-room são registros no nível account.

ServiçoAçãoDescriçãoSolicitar parâmetros
clean-roomcreateCleanRoomUm usuário no site Databricks account cria uma nova sala limpa usando a UI ou API.- clean_room_name - cloud_vendor - collaborators - metastore_id - region - workspace_id
clean-roomcreateCleanRoomOutputCatalogUm usuário em seu Databricks account cria uma tabela de saída em uma sala limpa usando a UI ou API.- clean_room_name - output_catalog_name - metastore_id - workspace_id
clean-roomdeleteCleanRoomUm usuário do site Databricks account exclui uma sala limpa usando a interface do usuário ou API.- clean_room_name - metastore_id - workspace_id
clean-roomgetCleanRoomUm usuário em seu site account obtém detalhes sobre uma sala limpa usando a interface do usuário ou API.- clean_room_name - metastore_id - workspace_id
clean-roomgetCleanRoomAssetUm usuário em seu account visualiza detalhes sobre os dados ativos de uma sala limpa usando a UI.- asset_full_name - metastore_id - workspace_id - asset_type - clean_room_name - collaborator_global_metastore_id
clean-roomlistCleanRoomsUm usuário obtém uma lista de todas as salas limpas usando a UI workspace ou todas as salas limpas no metastore usando o API.- metastore_id - workspace_id
clean-roomupdateCleanRoomUm usuário em seu account atualiza os detalhes ou o ativo de uma sala limpa.- added_assets - clean_room_name - owner - metastore_id - workspace_id - updated_assets - removed_assets

eventos de entrega de registros

Os seguintes eventos logDelivery são registros no nível account.

ServiçoAçãoDescriçãoSolicitar parâmetros
logDeliverycreateLogDeliveryConfigurationO administrador criou uma configuração de entrega log.- account_id - config_id
logDeliverygetLogDeliveryConfigurationO administrador solicitou detalhes sobre uma configuração de entrega log.- log_delivery_configuration
logDeliverylistLogDeliveryConfigurationsO administrador listou todas as configurações de entrega do site log em account.- account_id - storage_configuration_id - credentials_id - status
logDeliveryupdateLogDeliveryConfigurationO administrador atualizou uma configuração de entrega do site log.- config_id - account_id - status

Eventos de SSO do Oauth

Os seguintes eventos oauth2 são logs no nível account e estão relacionados à autenticação OAuth SSO no console account.

ServiçoAçãoDescriçãoSolicitar parâmetros
oauth2createCustomAppIntegrationUm administrador de workspace cria uma integração de aplicativos personalizados.- redirect_url - name - token_access_policy - confidential
oauth2createPublishedAppIntegrationUm administrador de workspace cria uma integração de aplicativos usando uma integração de aplicativos publicada.- app_id
oauth2deleteCustomAppIntegrationUm administrador de workspace exclui a integração de aplicativos personalizados.- integration_id
oauth2deletePublishedAppIntegrationUm administrador de workspace exclui a integração de aplicativos publicados.- integration_id
oauth2enrollOAuthUm administrador de workspace inscreve account em OAuth.- enable_all_published_apps
oauth2updateCustomAppIntegrationUm administrador do workspace atualiza a integração de aplicativos personalizados.- redirect_url - name - token_access_policy - confidential
oauth2updatePublishedAppIntegrationUm administrador do workspace atualiza a integração de aplicativos publicados.- token_access_policy

eventos de credenciais da entidade de serviço (visualização pública)

Os seguintes eventos servicePrincipalCredentials são registros no nível account.

ServiçoAçãoDescriçãoSolicitar parâmetros
servicePrincipalCredentialscreateO administrador da conta gera um segredo OAuth para a entidade de serviço.- account_id - service_principal - secret_id
servicePrincipalCredentialslistO administrador da conta lista todos os segredos de OAuth em uma entidade de serviço.- account_id - service_principal
servicePrincipalCredentialsdeleteO administrador da conta exclui o segredo OAuth de uma entidade de serviço.- account_id - service_principal - secret_id

Eventos com login único

Os seguintes eventos ssoConfigBackend são logs no nível account e estão relacionados à autenticação SSO para o console account.

ServiçoAçãoDescriçãoSolicitar parâmetros
ssoConfigBackendcreateO administrador da conta criou uma configuração do console account SSO .- account_id - sso_type - config
ssoConfigBackendgetO administrador da conta solicitou detalhes sobre uma configuração do console account SSO .- account_id - sso_type
ssoConfigBackendupdateO administrador da conta atualizou uma configuração do console account SSO .- account_id - sso_type - config

Unity Catalog eventos

Os seguintes eventos de auditoria estão relacionados ao Unity Catalog. Delta Sharing eventos também são registros no serviço unityCatalog. Para eventos Delta Sharing, consulte eventosDelta Sharing. Unity Catalog Os eventos de auditoria podem ser registrados no nível workspace ou no nível account, dependendo do evento.

ServiçoAçãoDescriçãoSolicitar parâmetros
unityCatalogcreateMetastoreO administrador da conta cria um metastore.- name - storage_root - workspace_id - metastore_id
unityCataloggetMetastoreO administrador da conta solicita o ID da metastore.- id - workspace_id - metastore_id
unityCataloggetMetastoreSummaryO administrador da conta solicita detalhes sobre um metastore.- workspace_id - metastore_id
unityCataloglistMetastoresO administrador da conta solicita uma lista de todos os metastores em um account.- workspace_id
unityCatalogupdateMetastoreO administrador da conta faz uma atualização em um metastore.- id - owner - workspace_id - metastore_id
unityCatalogdeleteMetastoreO administrador da conta exclui um metastore.- id - force - workspace_id - metastore_id
unityCatalogupdateMetastoreAssignmentO administrador da conta faz uma atualização na atribuição workspace de um metastore.- workspace_id - metastore_id - default_catalog_name
unityCatalogcreateExternalLocationO administrador da conta cria um local externo.- name - skip_validation - url - credential_name - workspace_id - metastore_id
unityCataloggetExternalLocationO administrador da conta solicita detalhes sobre um local externo.- name_arg - include_browse - workspace_id - metastore_id
unityCataloglistExternalLocationsO administrador da conta solicita uma lista de todos os locais externos em um account.- url - max_results - workspace_id - metastore_id
unityCatalogupdateExternalLocationO administrador da conta faz uma atualização em um local externo.- name_arg - owner - workspace_id - metastore_id
unityCatalogdeleteExternalLocationO administrador da conta exclui um local externo.- name_arg - force - workspace_id - metastore_id
unityCatalogcreateCatalogO usuário cria um catálogo.- name - comment - workspace_id - metastore_id
unityCatalogdeleteCatalogO usuário exclui um catálogo.- name_arg - workspace_id - metastore_id
unityCataloggetCatalogO usuário solicita detalhes sobre um catálogo.- name_arg - dependent - workspace_id - metastore_id
unityCatalogupdateCatalogO usuário atualiza um catálogo.- name_arg - isolation_mode - comment - workspace_id - metastore_id
unityCataloglistCatalogO usuário faz uma chamada para listar todos os catálogos na metastore.- name_arg - workspace_id - metastore_id
unityCatalogcreateSchemaO usuário cria um esquema.- name - catalog_name - comment - workspace_id - metastore_id
unityCatalogdeleteSchemaO usuário exclui um esquema.- full_name_arg - force - workspace_id - metastore_id
unityCataloggetSchemaO usuário solicita detalhes sobre um esquema.- full_name_arg - dependent - workspace_id - metastore_id
unityCataloglistSchemaO usuário solicita uma lista de todos os esquemas em um catálogo.- catalog_name
unityCatalogupdateSchemaO usuário atualiza um esquema.- full_name_arg - name - workspace_id - metastore_id - comment
unityCatalogcreateStagingTable- name - catalog_name - schema_name - workspace_id - metastore_id
unityCatalogcreateTableO usuário cria uma tabela. Os parâmetros da solicitação diferem dependendo do tipo de tabela criada.- name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment
unityCatalogdeleteTableO usuário exclui uma tabela.- full_name_arg - workspace_id - metastore_id
unityCataloggetTableO usuário solicita detalhes sobre uma tabela.- include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id
unityCatalogprivilegedGetTable- full_name_arg
unityCataloglistTablesO usuário faz uma chamada para listar todas as tabelas em um esquema.- catalog_name - schema_name - workspace_id - metastore_id - include_browse
unityCataloglistTableSummariesO usuário obtém uma série de resumos de tabelas para um esquema e catálogo dentro do metastore.- catalog_name - schema_name_pattern - workspace_id - metastore_id
unityCatalogupdateTablesO usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam de acordo com o tipo de atualização de tabela feita.- full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id
unityCatalogcreateStorageCredentialO administrador da conta cria uma credencial de armazenamento. Talvez você veja um parâmetro de solicitação adicional com base nas credenciais do seu provedor de nuvem.- name - comment - workspace_id - metastore_id
unityCataloglistStorageCredentialsO administrador da conta faz uma chamada para listar todas as credenciais de armazenamento no site account.- workspace_id - metastore_id
unityCataloggetStorageCredentialO administrador da conta solicita detalhes sobre uma credencial de armazenamento.- name_arg - workspace_id - metastore_id
unityCatalogupdateStorageCredentialO administrador da conta faz uma atualização em uma credencial de armazenamento.- name_arg - owner - workspace_id - metastore_id
unityCatalogdeleteStorageCredentialO administrador da conta exclui uma credencial de armazenamento.- name_arg - workspace_id - metastore_id
unityCataloggenerateTemporaryTableCredentialregistra em log sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem consultou o quê e quando.- credential_id - credential_type - credential_kind - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id
unityCataloggenerateTemporaryPathCredentialregistra em log sempre que uma credencial temporária é concedida para um caminho.- url - operation - make_path_only_parent - credential_kind - fallback_enabled - workspace_id - metastore_id
unityCatalogcheckPathAccessregistra sempre que as permissões de usuário são verificadas para um determinado caminho.- path - fallback_enabled
unityCataloggetPermissionsO usuário faz uma chamada para obter detalhes de permissão para um objeto protegível. Essa chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente.- securable_type - securable_full_name - workspace_id - metastore_id
unityCataloggetEffectivePermissionsO usuário faz uma chamada para obter todos os detalhes da permissão para um objeto protegível. Uma chamada de permissões efetiva retorna as permissões atribuídas e herdadas explicitamente.- securable_type - securable_full_name - workspace_id - metastore_id
unityCatalogupdatePermissionsO usuário atualiza as permissões em um objeto protegível.- securable_type - changes - securable_full_name - workspace_id - metastore_id
unityCatalogmetadataSnapshotO usuário consulta os metadados de uma versão anterior da tabela.- securables - include_delta_metadata - workspace_id - metastore_id
unityCatalogmetadataAndPermissionsSnapshotO usuário consulta os metadados e as permissões de uma versão anterior da tabela.- securables - include_delta_metadata - workspace_id - metastore_id
unityCatalogupdateMetadataSnapshotO usuário atualiza os metadados de uma versão anterior da tabela.- table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id
unityCataloggetForeignCredentialsO usuário faz uma chamada para obter detalhes sobre um estrangeiro key.- securables - workspace_id - metastore_id
unityCataloggetInformationSchemaO usuário faz uma chamada para obter detalhes sobre um esquema.- table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id
unityCatalogcreateConstraintO usuário cria uma restrição para uma tabela.- full_name_arg - constraint - workspace_id - metastore_id
unityCatalogdeleteConstraintO usuário exclui uma restrição para uma tabela.- full_name_arg - constraint - workspace_id - metastore_id
unityCatalogcreatePipelineO usuário cria um pipeline do Unity Catalog.- target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id
unityCatalogupdatePipelineO usuário atualiza um pipeline do Unity Catalog.- id_arg - definition_json - id - workspace_id - metastore_id
unityCataloggetPipelineO usuário solicita detalhes sobre um pipeline do Unity Catalog.- id - workspace_id - metastore_id
unityCatalogdeletePipelineO usuário exclui um pipeline do Unity Catalog.- id - workspace_id - metastore_id
unityCatalogdeleteResourceFailureFalha na exclusão do recursonenhum
unityCatalogcreateVolumeO usuário cria um volume do Unity Catalog.- name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id
unityCataloggetVolumeO usuário faz uma chamada para obter informações sobre um volume do Unity Catalog.- volume_full_name - workspace_id - metastore_id
unityCatalogupdateVolumeO usuário atualiza os metadados de um volume do Unity Catalog com as chamadas ALTER VOLUME ou COMMENT ON.- volume_full_name - name - owner - comment - workspace_id - metastore_id
unityCatalogdeleteVolumeO usuário exclui um volume do Unity Catalog.- volume_full_name - workspace_id - metastore_id
unityCataloglistVolumesO usuário faz uma chamada para obter uma lista de todos os volumes do Unity Catalog em um esquema.- catalog_name - schema_name - workspace_id - metastore_id
unityCataloggenerateTemporaryVolumeCredentialUma credencial temporária é gerada quando um usuário realiza uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando.- volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - credential_kind - workspace_id - metastore_id
unityCataloggetTagSecurableAssignmentsAs atribuições de tags para um protegível são buscadas- securable_type - securable_full_name - workspace_id - metastore_id
unityCataloggetTagSubentityAssignmentsAs atribuições de tags para uma subentidade são buscadas- securable_type - securable_full_name - workspace_id - metastore_id - subentity_name
unityCatalogUpdateTagSecurableAssignmentsAs atribuições de tags para um protegível são atualizadas- securable_type - securable_full_name - workspace_id - metastore_id - changes
unityCatalogUpdateTagSubentityAssignmentsAs atribuições de tags para uma subentidade são atualizadas- securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes
unityCatalogcreateRegisteredModelO usuário cria um modelo registrado no Unity Catalog.- name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id
unityCataloggetRegisteredModelO usuário faz uma chamada para obter informações sobre um modelo registrado no site Unity Catalog.- full_name_arg - workspace_id - metastore_id
unityCatalogupdateRegisteredModelO usuário atualiza os metadados de um modelo registrado no Unity Catalog.- full_name_arg - name - owner - comment - workspace_id - metastore_id
unityCatalogdeleteRegisteredModelO usuário exclui um modelo registrado do Unity Catalog.- full_name_arg - workspace_id - metastore_id
unityCataloglistRegisteredModelsO usuário faz uma chamada para obter uma lista de modelos registrados do Unity Catalog em um esquema ou para listar modelos em catálogos e esquemas.- catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id
unityCatalogcreateModelVersionO usuário cria uma versão do modelo no Unity Catalog.- catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id
unityCatalogfinalizeModelVersionO usuário faz uma chamada para "finalizar" uma versão do modelo Unity Catalog depois de carregar os arquivos da versão do modelo em seu local de armazenamento, tornando-a somente leitura e utilizável no fluxo de trabalho de inferência.- full_name_arg - version_arg - workspace_id - metastore_id
unityCataloggetModelVersionO usuário faz uma chamada para obter detalhes sobre uma versão do modelo.- full_name_arg - version_arg - workspace_id - metastore_id
unityCataloggetModelVersionByAliasO usuário faz uma chamada para obter detalhes sobre uma versão do modelo usando o alias.- full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id
unityCatalogupdateModelVersionO usuário atualiza os metadados de uma versão do modelo.- full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id
unityCatalogdeleteModelVersionO usuário exclui uma versão do modelo.- full_name_arg - version_arg - workspace_id - metastore_id
unityCataloglistModelVersionsO usuário faz uma chamada para obter uma lista de versões de modelos do Unity Catalog em um modelo registrado.- catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id
unityCataloggenerateTemporaryModelVersionCredentialUma credencial temporária é gerada quando um usuário executa uma gravação (durante a criação da versão inicial do modelo) ou uma leitura (após a finalização da versão do modelo) em uma versão do modelo. Você pode usar esse evento para determinar quem acessou uma versão do modelo e quando.- full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - credential_kind - workspace_id - metastore_id
unityCatalogsetRegisteredModelAliasO usuário define um alias em um modelo registrado no Unity Catalog.- full_name_arg - alias_arg - version
unityCatalogdeleteRegisteredModelAliasO usuário exclui um alias em um modelo registrado no Unity Catalog.- full_name_arg - alias_arg
unityCataloggetModelVersionByAliasO usuário obtém uma versão do modelo do Unity Catalog por alias.- full_name_arg - alias_arg
unityCatalogcreateConnectionUma nova conexão externa é criada.- name - connection_type - workspace_id - metastore_id
unityCatalogdeleteConnectionUma conexão externa é excluída.- name_arg - workspace_id - metastore_id
unityCataloggetConnectionUma conexão externa é recuperada.- name_arg - workspace_id - metastore_id
unityCatalogupdateConnectionUma conexão externa é atualizada.- name_arg - owner - workspace_id - metastore_id
unityCataloglistConnectionsAs conexões estrangeiras em uma metastore são listadas.- workspace_id - metastore_id
unityCatalogcreateFunctionO usuário cria uma nova função.- function_info - workspace_id - metastore_id
unityCatalogupdateFunctionO usuário atualiza uma função.- full_name_arg - owner - workspace_id - metastore_id
unityCataloglistFunctionsO usuário solicita uma lista de todas as funções em um catálogo ou esquema principal específico.- catalog_name - schema_name - include_browse - workspace_id - metastore_id
unityCataloggetFunctionO usuário solicita uma função de um catálogo ou esquema principal.- full_name_arg - workspace_id - metastore_id
unityCatalogdeleteFunctionO usuário solicita uma função de um catálogo ou esquema principal.- full_name_arg - workspace_id - metastore_id
unityCatalogcreateShareMarketplaceListingLink- links_infos - metastore_id
unityCatalogdeleteShareMarketplaceListingLink- links_infos - metastore_id
unityCataloggenerateTemporaryServiceCredentialUma credencial temporária é gerada para acessar um serviço de nuvem account a partir de Databricks.- credential_id - credential_type - credential_kind - workspace_id - metastore_id

Eventos Delta Sharing

Delta Sharing Os eventos são divididos em duas seções: eventos registrados no site account do provedor de dados e eventos registrados no site account do destinatário dos dados.

Eventos do provedor Delta Sharing

Os seguintes eventos de auditoria log são registrados no site account do provedor. As ações que são realizadas pelos destinatários começam com o prefixo deltaSharing. Cada um desses logs também inclui request_params.metastore_id, que é o metastore que gerencia os dados compartilhados, e userIdentity.email, que é o ID do usuário que iniciou a atividade.

ServiçoAçãoDescriçãoSolicitar parâmetros
unityCatalogdeltaSharingListSharesUm destinatário de dados solicita uma lista de compartilhamentos.- options: As opções de paginação fornecidas com essa solicitação. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingGetShareUm destinatário de dados solicita detalhes sobre um compartilhamento.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListSchemasUm destinatário de dados solicita uma lista de esquemas compartilhados.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - options: As opções de paginação fornecidas com essa solicitação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListAllTablesUm destinatário de dados solicita uma lista de todas as tabelas compartilhadas.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListTablesUm destinatário de dados solicita uma lista de tabelas compartilhadas.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - options: As opções de paginação fornecidas com essa solicitação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingGetTableMetadataUm destinatário de dados solicita detalhes sobre os metadados de uma tabela.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - schema: O nome do esquema. - name: O nome da tabela. - predicateHints: Os predicados incluídos na consulta. - limitHints: O número máximo de linhas a serem retornadas. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingGetTableVersionUm destinatário de dados solicita detalhes sobre uma versão da tabela.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - schema: O nome do esquema. - name: O nome da tabela. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingQueryTableregistra quando um destinatário de dados consulta uma tabela compartilhada.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - schema: O nome do esquema. - name: O nome da tabela. - predicateHints: Os predicados incluídos na consulta. - limitHints: O número máximo de linhas a serem retornadas. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingQueryTableChangesregistra em log quando um destinatário de dados consulta os dados de alteração de uma tabela.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - schema: O nome do esquema. - name: O nome da tabela. - cdf_options: Altere as opções do feed de dados. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingQueriedTableregistra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados).- recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingQueriedTableChangesregistra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados).- recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListNotebookFilesUm destinatário de dados solicita uma lista de arquivos compartilhados do Notebook.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingQueryNotebookFileUm destinatário de dados consulta um arquivo Notebook compartilhado.- file_name: O nome do arquivo do Notebook. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListFunctionsUm destinatário de dados solicita uma lista de funções em um esquema principal.- share: O nome do compartilhamento. - schema: O nome do esquema principal da função. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListAllFunctionsUm destinatário de dados solicita uma lista de todas as funções compartilhadas.- share: O nome do compartilhamento. - schema: O nome do esquema principal da função. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListFunctionVersionsUm destinatário de dados solicita uma lista de versões da função.- share: O nome do compartilhamento. - schema: O nome do esquema principal da função. - function: O nome da função. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListVolumesUm destinatário de dados solicita uma lista de volumes compartilhados em um esquema.- share: O nome do compartilhamento. - schema: O esquema parental dos volumes. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogdeltaSharingListAllVolumesUm destinatário de dados solicita todos os volumes compartilhados.- share: O nome do compartilhamento. - recipient_name: Indica o destinatário executando a ação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, verdadeiro se a solicitação foi negada e falso se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalogupdateMetastoreO provedor atualiza sua metastore.- delta_sharing_scope: Os valores podem ser INTERNAL ou INTERNAL_AND_EXTERNAL. - delta_sharing_recipient_token_lifetime_in_seconds: Se presente, indica que o tempo de vida dos tokens do destinatário foi atualizado.
unityCatalogcreateRecipientO provedor cria um destinatário de dados.- name: O nome do destinatário. - comment: O comentário para o destinatário. - ip_access_list.allowed_ip_addresses: Lista de permissões de endereços IP do destinatário.
unityCatalogdeleteRecipientO provedor exclui um destinatário de dados.- name: O nome do destinatário.
unityCataloggetRecipientO provedor solicita detalhes sobre um destinatário de dados.- name: O nome do destinatário.
unityCataloglistRecipientsO provedor solicita uma lista de todos os seus destinatários de dados.nenhum
unityCatalogrotateRecipientTokenO provedor gira os tokens de um destinatário.- name: O nome do destinatário. - comment: O comentário fornecido no comando de rotação.
unityCatalogupdateRecipientO provedor atualiza os atributos do destinatário dos dados.- name: O nome do destinatário. - updates: Uma representação JSON dos atributos do destinatário que foram adicionados ou removidos do compartilhamento.
unityCatalogcreateShareO provedor atualiza os atributos do destinatário dos dados.- name: O nome do compartilhamento. - comment: O comentário para o compartilhamento.
unityCatalogdeleteShareO provedor atualiza os atributos do destinatário dos dados.- name: O nome do compartilhamento.
unityCataloggetShareO provedor solicita detalhes sobre um compartilhamento.- name: O nome do compartilhamento. - include_shared_objects: Se os nomes das tabelas do compartilhamento foram incluídos na solicitação.
unityCatalogupdateShareO provedor adiciona ou remove dados ativos de um compartilhamento.- name: O nome do compartilhamento. - updates: Uma representação JSON dos dados ativos que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover), name (o nome real da tabela), shared_as (o nome com o qual o ativo foi compartilhado, se diferente do nome real) e partition_specification (se uma especificação de partição foi fornecida).
unityCataloglistSharesO provedor solicita uma lista de suas ações.nenhum
unityCataloggetSharePermissionsO provedor solicita detalhes sobre as permissões de um compartilhamento.- name: O nome do compartilhamento.
unityCatalogupdateSharePermissionsO provedor atualiza as permissões de um compartilhamento.- name: O nome do compartilhamento. - changes: Uma representação JSON das permissões atualizadas. Cada alteração inclui principal (o usuário ou grupo ao qual a permissão é concedida ou revogada), add (a lista de permissões concedidas) e remove (a lista de permissões que foram revogadas).
unityCataloggetRecipientSharePermissionsO provedor solicita detalhes sobre as permissões de compartilhamento do destinatário.- name: O nome do compartilhamento.
unityCataloggetActivationUrlInfoO provedor solicita detalhes sobre a atividade em seu link de ativação.- recipient_name: O nome do destinatário que abriu o URL de ativação. - is_ip_access_denied: Nenhuma se não houver uma lista de acesso IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCataloggenerateTemporaryVolumeCredentialA credencial temporária é gerada para que o destinatário acesse um volume compartilhado.- share_name: O nome do compartilhamento pelo qual o destinatário solicita. - share_id: O ID do compartilhamento. - share_owner: O dono da ação. - recipient_name: O nome do destinatário que solicita a credencial. - recipient_id: O ID do destinatário. - volume_full_name: O nome completo de 3 níveis do volume. - volume_id: O ID do volume. - volume_storage_location: O caminho da nuvem da raiz do volume. - operation: READ_VOLUME ou WRITE_VOLUME. Para o compartilhamento de volumes, somente o site READ_VOLUME é compatível. - credential_id: O ID da credencial. - credential_type: O tipo da credencial. O valor é StorageCredential ou ServiceCredential. - credential_kind: O método usado para autorizar o acesso. - workspace_id: O valor é sempre 0 quando a solicitação é para volumes compartilhados.
unityCataloggenerateTemporaryTableCredentialA credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada.- share_name: O nome do compartilhamento pelo qual o destinatário solicita. - share_id: O ID do compartilhamento. - share_owner: O dono da ação. - recipient_name: O nome do destinatário que solicita a credencial. - recipient_id: O ID do destinatário. - table_full_name: O nome completo de 3 níveis da tabela. - table_id: O ID da tabela. - table_url: O caminho da nuvem da raiz da tabela. - operation: READ ou READ_WRITE. - credential_id: O ID da credencial. - credential_type: O tipo da credencial. O valor é StorageCredential ou ServiceCredential. - credential_kind: O método usado para autorizar o acesso. - workspace_id: O valor é sempre 0 quando a solicitação é para tabelas compartilhadas.

Eventos dos beneficiários do Delta Sharing

Os seguintes eventos são registrados no site account do destinatário dos dados. Esses eventos registram o acesso do destinatário a dados compartilhados e AI ativo, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:

  • recipient_name: o nome do destinatário no sistema do provedor de dados.
  • metastore_id: o nome do metastore no sistema do provedor de dados.
  • sourceIPAddress: O endereço IP de origem da solicitação.
ServiçoAçãoDescriçãoSolicitar parâmetros
unityCatalogdeltaSharingProxyGetTableVersionUm destinatário de dados solicita detalhes sobre uma versão de tabela compartilhada.- share: O nome do compartilhamento. - schema: O nome do esquema principal da tabela. - name: O nome da tabela.
unityCatalogdeltaSharingProxyGetTableMetadataUm destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada.- share: O nome do compartilhamento. - schema: O nome do esquema principal da tabela. - name: O nome da tabela.
unityCatalogdeltaSharingProxyQueryTableUm destinatário de dados consulta uma tabela compartilhada.- share: O nome do compartilhamento. - schema: O nome do esquema principal da tabela. - name: O nome da tabela. - limitHints: O número máximo de linhas a serem retornadas. - predicateHints: Os predicados incluídos na consulta. - version: Versão da tabela, se a alteração do feed de dados estiver ativada.
unityCatalogdeltaSharingProxyQueryTableChangesAs consultas de um destinatário de dados alteram os dados de uma tabela.- share: O nome do compartilhamento. - schema: O nome do esquema principal da tabela. - name: O nome da tabela. - cdf_options: Altere as opções do feed de dados.
unityCatalogcreateProviderUm destinatário de dados cria um objeto de provedor.- name: O nome do provedor. - comment: O comentário para o provedor.
unityCatalogupdateProviderUm destinatário de dados atualiza um objeto de provedor.- name: O nome do provedor. - updates: Uma representação JSON dos atributos do provedor que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover) e pode incluir name (o novo nome do provedor), owner (novo proprietário) e comment.
unityCatalogdeleteProviderUm destinatário de dados exclui um objeto de provedor.- name: O nome do provedor.
unityCataloggetProviderUm destinatário de dados solicita detalhes sobre um objeto de provedor.- name: O nome do provedor.
unityCataloglistProvidersUm destinatário de dados solicita uma lista de provedores.nenhum
unityCatalogactivateProviderUm destinatário de dados ativa um objeto de provedor.- name: O nome do provedor.
unityCataloglistProviderSharesUm destinatário de dados solicita uma lista das ações de um provedor.- name: O nome do provedor.

Eventos adicionais de monitoramento de segurança

Para Databricks compute recurso no plano clássico compute, como VMs para clustering e pro ou clássico SQL warehouse, os seguintes recursos habilitam agentes de monitoramento adicionais:

Para serverless compute recurso, os agentes de monitoramento executam se o perfil de segurança compliance estiver ativado e o padrão de reclamação for compatível com serverless compute recurso. Veja quais compute recurso obtêm segurança aprimorada e perfil de segurança de conformidade compliance padrões com serverless compute disponibilidade.

Eventos de monitoramento da integridade do arquivo

Os seguintes eventos capsule8-alerts-dataplane são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
capsule8-alerts-dataplaneHeartbeatUm evento regular para confirmar que o monitor está ligado. Atualmente, a execução é feita a cada 10 minutos.- instanceId
capsule8-alerts-dataplaneMemory Marked ExecutableA memória geralmente é marcada como executável para permitir que códigos maliciosos sejam executados quando um aplicativo está sendo explorado. alerta quando um programa define as permissões de memória do heap ou da pilha como executáveis. Isso pode causar falsos positivos em determinados servidores de aplicativos.- instanceId
capsule8-alerts-dataplaneFile Integrity MonitorMonitora a integridade de arquivos importantes do sistema. alerta sobre quaisquer alterações não autorizadas nesses arquivos. O Databricks define conjuntos específicos de caminhos do sistema na imagem, e esse conjunto de caminhos pode mudar com o tempo.- instanceId
capsule8-alerts-dataplaneSystemd Unit File ModifiedAs alterações nas unidades do systemd podem resultar no relaxamento ou desativação dos controles de segurança ou na instalação de um serviço malicioso. alerta sempre que um arquivo de unidade systemd for modificado por um programa que não seja o systemctl.- instanceId
capsule8-alerts-dataplaneRepeated Program CrashesFalhas repetidas no programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. alerta quando mais de 5 instâncias de um programa individual travam por falha de segmentação.- instanceId
capsule8-alerts-dataplaneUserfaultfd UsageComo os contêineres normalmente são cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. alerta quando um arquivo que foi criado ou modificado em 30 minutos é executado em um contêiner.- instanceId
capsule8-alerts-dataplaneNew File Executed in ContainerA memória geralmente é marcada como executável para permitir que códigos maliciosos sejam executados quando um aplicativo está sendo explorado. alerta quando um programa define as permissões de memória do heap ou da pilha como executáveis. Isso pode causar falsos positivos em determinados servidores de aplicativos.- instanceId
capsule8-alerts-dataplaneSuspicious Interactive ShellO shell interativo é uma ocorrência rara na infraestrutura de produção moderna. alerta quando um shell interativo é iniciado com argumentos comumente usados para o shell reverso.- instanceId
capsule8-alerts-dataplaneUser Command Logging EvasionEvitar o registro de comando é uma prática comum dos invasores, mas também pode indicar que um usuário legítimo está realizando ações não autorizadas ou tentando burlar a política. alerta quando é detectada uma alteração no registro de histórico de comando do usuário, indicando que um usuário está tentando evitar o registro de comando.- instanceId
capsule8-alerts-dataplaneBPF Program ExecutedDetecta alguns tipos de backdoors do kernel. O carregamento de um novo programa Berkeley Packet Filter (BPF) pode indicar que um invasor está carregando um rootkit baseado em BPF para ganhar persistência e evitar a detecção. alerta quando um processo carrega um novo programa BPF privilegiado, se o processo já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneKernel Module LoadedOs invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. alerta quando um módulo do kernel é carregado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneSuspicious Program Name Executed-Space After FileOs invasores podem criar ou renomear binários mal-intencionados para incluir um espaço no final do nome em um esforço para se passar por um programa ou serviço legítimo do sistema. alerta quando um programa é executado com um espaço após o nome do programa.- instanceId
capsule8-alerts-dataplaneIllegal Elevation Of PrivilegesOs exploits de escalonamento de privilégios do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de root sem passar pelas portas padrão para alterações de privilégios. alerta quando um programa tenta elevar os privilégios por meios incomuns. Isso pode emitir alertas falsos positivos em nós com cargas de trabalho significativas.- instanceId
capsule8-alerts-dataplaneKernel ExploitAs funções internas do kernel não são acessíveis aos programas regulares e, se chamadas, são um forte indicador de que uma exploração do kernel foi executada e de que o invasor tem controle total do nó. alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário.- instanceId
capsule8-alerts-dataplaneProcessor-Level Protections DisabledO SMEP e o SMAP são proteções em nível de processador que aumentam a dificuldade de sucesso das explorações do kernel, e desabilitar essas restrições é uma etapa inicial comum nas explorações do kernel. alerta quando um programa mexe com a configuração SMEP/SMAP do kernel.- instanceId
capsule8-alerts-dataplaneContainer Escape via Kernel Exploitationalerta quando um programa usa funções do kernel comumente usadas em explorações de escape de contêineres, indicando que um invasor está aumentando os privilégios do acesso ao contêiner para o acesso ao nó.- instanceId
capsule8-alerts-dataplanePrivileged Container LaunchedOs contêineres privilegiados têm acesso direto ao recurso do host, o que causa um impacto maior quando comprometidos. alerta quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como o kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos.- instanceId
capsule8-alerts-dataplaneUserland Container EscapeMuitos escapes de contêiner forçam o host a executar um binário no contêiner, fazendo com que o invasor obtenha controle total do nó afetado. alerta quando um arquivo criado em um contêiner é executado de fora do contêiner.- instanceId
capsule8-alerts-dataplaneAppArmor Disabled In KernelA modificação de certos atributos do AppArmor só pode ocorrer no kernel, indicando que o AppArmor foi desativado por uma exploração do kernel ou rootkit. alerta quando o estado do AppArmor é alterado em relação à configuração do AppArmor detectada quando o sensor começa.- instanceId
capsule8-alerts-dataplaneAppArmor Profile ModifiedOs atacantes podem tentar desativar a aplicação de perfis do AppArmor como parte da evasão da detecção. alerta quando um comando para modificar um perfil do AppArmor é executado, se não tiver sido executado por um usuário em uma sessão SSH.- instanceId
capsule8-alerts-dataplaneBoot Files ModifiedSe não for realizada por uma fonte confiável (como um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que um invasor está modificando o kernel ou suas opções para obter acesso persistente a um host. alerta quando são feitas alterações nos arquivos em /boot, indicando a instalação de um novo kernel ou configuração de inicialização.- instanceId
capsule8-alerts-dataplaneLog Files DeletedA exclusão de registros não realizada por uma ferramenta de gerenciamento log pode indicar que um invasor está tentando remover indicadores de comprometimento. alerta sobre a exclusão de arquivos do sistema log.- instanceId
capsule8-alerts-dataplaneNew File ExecutedArquivos recém-criados de fontes que não sejam programas de atualização do sistema podem ser backdoors, explorações do kernel ou parte de uma cadeia de exploração. alerta quando um arquivo que foi criado ou modificado dentro de 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema.- instanceId
capsule8-alerts-dataplaneRoot Certificate Store ModifiedA modificação do repositório de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, permitindo a interceptação do tráfego de rede ou o desvio da verificação da assinatura de código. alerta quando um armazenamento de certificados da CA do sistema é alterado.- instanceId
capsule8-alerts-dataplaneSetuid/Setgid Bit Set On FileA configuração setuid/setgid bits pode ser usada para fornecer um método persistente de escalonamento de privilégios em um nó. alerta quando o bit setuid ou setgid é definido em um arquivo com a família chmod de chamadas de sistema.- instanceId
capsule8-alerts-dataplaneHidden File CreatedOs invasores geralmente criam arquivos ocultos como forma de ocultar ferramentas e cargas úteis em um host comprometido. alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento.- instanceId
capsule8-alerts-dataplaneModification Of Common System UtilitiesOs invasores podem modificar os utilitários do sistema para executar cargas maliciosas sempre que esses utilitários forem executados. alerta quando um utilitário comum do sistema é modificado por um processo não autorizado.- instanceId
capsule8-alerts-dataplaneNetwork Service Scanner ExecutedUm invasor ou usuário desonesto pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais que possam ser comprometidos. alerta quando ferramentas comuns de programas de varredura de rede são executadas.- instanceId
capsule8-alerts-dataplaneNetwork Service CreatedOs atacantes podem começar um novo serviço de rede para fornecer acesso fácil a um host após o comprometimento. alerta quando um programa começa um novo serviço de rede, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneNetwork Sniffing Program ExecutedUm invasor ou usuário desonesto pode executar comandos de sniffing de rede para capturar credenciais, informações de identificação pessoal (PII) ou outras informações confidenciais. alerta quando é executado um programa que permite a captura de rede.- instanceId
capsule8-alerts-dataplaneRemote File Copy DetectedO uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneUnusual Outbound Connection DetectedOs mineradores de criptomoedas e canais de comando e controle geralmente criam novas conexões de rede de saída em portas incomuns. alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneData Archived Via ProgramDepois de obter acesso a um sistema, um invasor pode criar um arquivo compactado de arquivos para reduzir o tamanho dos dados para exfiltração. alerta quando um programa de compactação de dados é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneProcess InjectionO uso de técnicas de injeção de processos geralmente indica que um usuário está depurando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. alerta quando um programa usa mecanismos de ptrace (depuração) para interagir com outro processo.- instanceId
capsule8-alerts-dataplaneAccount Enumeration Via ProgramOs invasores geralmente usam programas de enumeração account para determinar seu nível de acesso e verificar se outros usuários estão conectados ao nó no momento. alerta quando um programa associado à enumeração account é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneFile and Directory Discovery Via ProgramExplorar sistemas de arquivos é um comportamento comum após a exploração de um invasor em busca de credenciais e dados de interesse. alerta quando um programa associado à enumeração de arquivos e diretórios é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneNetwork Configuration Enumeration Via ProgramOs atacantes podem interrogar a rede local e as informações de rota para identificar hosts e redes adjacentes antes do movimento lateral. alerta quando um programa associado à enumeração da configuração de rede é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneProcess Enumeration Via ProgramOs invasores geralmente listam os programas em execução para identificar a finalidade de um nó e se há alguma ferramenta de segurança ou monitoramento instalada. alerta quando um programa associado à enumeração de processos é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneSystem Information Enumeration Via ProgramOs atacantes geralmente executam o comando de enumeração do sistema para determinar as versões e o recurso do kernel e da distribuição do Linux, muitas vezes para identificar se o nó é afetado por vulnerabilidades específicas. alerta quando um programa associado à enumeração de informações do sistema é executado, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneScheduled Tasks Modified Via ProgramModificar a tarefa agendada é um método comum para estabelecer a persistência em um nó comprometido. O senhor deve ficar alerta quando os comandos crontab, at ou batch forem usados para modificar as configurações de tarefas agendadas.- instanceId
capsule8-alerts-dataplaneSystemctl Usage DetectedAs alterações nas unidades do systemd podem resultar no relaxamento ou desativação dos controles de segurança ou na instalação de um serviço malicioso. alerta quando o comando systemctl é usado para modificar as unidades do systemd.- instanceId
capsule8-alerts-dataplaneUser Execution Of su CommandO escalonamento explícito para o usuário raiz diminui a capacidade de correlacionar atividades privilegiadas a um usuário específico. alerta quando o su comando for executado.- instanceId
capsule8-alerts-dataplaneUser Execution Of sudo Commandalerta quando o sudo comando for executado.- instanceId
capsule8-alerts-dataplaneUser Command History ClearedA exclusão do arquivo de histórico é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem evitar controles de auditoria. alerta quando os arquivos do comando line história são excluídos.- instanceId
capsule8-alerts-dataplaneNew System User AddedUm invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento local account /etc/passwd, se a entidade não for adicionada por um programa de atualização do sistema.- instanceId
capsule8-alerts-dataplanePassword Database ModificationOs invasores podem modificar diretamente os arquivos relacionados à identidade para adicionar um novo usuário ao sistema. alerta quando um arquivo relacionado a senhas de usuários é modificado por um programa não relacionado à atualização de informações de usuários existentes.- instanceId
capsule8-alerts-dataplaneSSH Authorized Keys ModificationA adição de um novo SSH público key é um método comum para obter acesso persistente a um host comprometido. alerta quando é observada uma tentativa de gravação no arquivo SSH authorized_keys de um usuário, se o programa já fizer parte de um incidente em andamento.- instanceId
capsule8-alerts-dataplaneUser Account Created Via CLIAdicionar um novo usuário é uma etapa comum para os invasores ao estabelecer persistência em um nó comprometido. alerta quando um programa de gerenciamento de identidade é executado por um programa que não seja um gerenciador de pacotes.- instanceId
capsule8-alerts-dataplaneUser Configuration ChangesA exclusão do arquivo de histórico é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem evitar controles de auditoria. alerta quando os arquivos do comando line história são excluídos.- instanceId
capsule8-alerts-dataplaneNew System User AddedO perfil do usuário e os arquivos de configuração são frequentemente modificados como um método de persistência para executar um programa sempre que um usuário faz login. alerta quando .bash_profile e bashrc (bem como os arquivos relacionados) são modificados por um programa que não seja uma ferramenta de atualização do sistema.- instanceId

Eventos de monitoramento de antivírus

nota

O objeto JSON response nesses logs de auditoria sempre tem um campo result que inclui uma linha do resultado da varredura original. Cada resultado de varredura é representado normalmente por vários registros de log de auditoria, um para cada linha da saída original da varredura. Para obter detalhes sobre o que pode aparecer nesse arquivo, consulte a seguinte documentação de terceiros.

O seguinte evento clamAVScanService-dataplane é registrado no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
clamAVScanService-dataplaneclamAVScanActionO monitoramento antivírus executa uma varredura. Um log será gerado para cada linha da saída da varredura original.- instanceId

Sistema log eventos

nota

O objeto response JSON na auditoria log tem um campo result que inclui o conteúdo original do sistema log.

O seguinte evento syslog é registrado no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
syslogprocessEventO sistema log processa um evento.- instanceId - processName

Monitor de processos log events

Os seguintes eventos monit são registros no nível workspace.

ServiçoAçãoDescriçãoSolicitar parâmetros
monitprocessNotRunningO monitor não está funcionando.- instanceId - processName
monitprocessRestartingO monitor está reiniciando.- instanceId - processName
monitprocessStartedO monitor começa.- instanceId - processName
monitprocessRunningO monitor está funcionando.- instanceId - processName

Eventos obsoletos do site log

A Databricks descontinuou os seguintes eventos de auditoria do site databrickssql:

  • createAlertDestination (agora createNotificationDestination)
  • deleteAlertDestination (agora deleteNotificationDestination)
  • updateAlertDestination (agora updateNotificationDestination)
  • muteAlert
  • unmuteAlert

SQL endpoint logs

Se o senhor criar o depósito SQL usando o obsoleto SQL endpoint API (o antigo nome do depósito SQL ), o nome do evento de auditoria correspondente incluirá a palavra Endpoint em vez de Warehouse. Além do nome, esses eventos são idênticos aos eventos do SQL warehouse. Para acessar view descrições e parâmetros de solicitação desses eventos, consulte os eventos de depósito correspondentes em Databricks SQL events.

Os eventos do site SQL endpoint são:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig