Referência de registro de auditoria

Observação

Este recurso exige o plano Premium ouacima.

Este artigo apresenta uma referência abrangente dos serviços e eventos de log de auditoria disponíveis. Conhecendo quais eventos são registrados nos logs de auditoria, sua empresa pode monitorar padrões de uso detalhados do Databricks em sua conta.

A maneira mais fácil de acessar e query os logs de auditoria de sua accounté usando as tabelas do sistema (Public Preview).

Se quiser configurar uma entrega logs regular, consulte Configurar entrega logs de auditoria.

Serviços de registro de auditoria

Os serviços a seguir e seus eventos são registrados por padrão nos logs de auditoria.

Serviços no nível do workspace

Os registros de auditoria no nível do workspace estão disponíveis para estes serviços:

Nome do Serviço

Descrição

contas

Eventos relacionados a contas, usuários, grupos e listas de acesso a IP.

clusterPolicies

Eventos relacionados a políticas de cluster.

clusters

Eventos relacionados a clusters.

painéis

Eventos relacionados ao uso do painel de controle de Lakeview.

databrickssql

Eventos relacionados ao uso do Databricks SQL.

dbfs

Eventos relacionados ao DBFS.

deltaPipelines

Eventos relacionados à pipelines Delta Live Table.

featureStore

Eventos relacionados ao Databricks Feature Store.

sistema de arquivo

Eventos relacionados à API de arquivos.

genie

Eventos relacionados ao acesso ao workspace pelo pessoal de suporte.

gitCredentials

Eventos relacionados a credenciais Git para pastas Git da Databricks. Veja também repos.

globalInitScripts

Eventos relacionados a scripts de inicialização globais.

groups

Eventos relacionados a grupos de conta e workspace.

iamRole

Eventos relacionados a permissões de função do IAM.

Ingestão

Eventos relacionados ao upload de arquivos.

instânciaPools

Eventos relacionados a pools.

empregos

Eventos relacionados a trabalhos.

mercadoConsumidor

Eventos relacionados a ações do consumidor no marketplace Databricks.

provedor de mercado

Eventos relacionados a ações do provedor no marketplace Databricks.

mlflowAcledArtifact

Eventos relacionados a artefatos ML Flow com ACLs.

mlflowExperiment

Eventos relacionados a experimentos do ML Flow.

modeloRegistro

Eventos relacionados ao workspace registro de modelo. Para logs de atividades de modelos no Unity Catalog, consulte EventosUnity Catalog .

notebook

Eventos relacionados a notebooks.

partnerConnect

Eventos relacionados ao Partner Connect.

remoteHistoryService

Eventos relacionados à adição de uma remoção de credenciais do GitHub.

repos

Eventos relacionados às pastas Git do Databricks. Veja também gitCredentials.

segredos

Eventos relacionados a segredos.

serverlessRealTimeInference

Eventos relacionados à veiculação do modelo.

sqlPermissions

Eventos relacionados ao controle de acesso herdado Hive metastore da tabela.

ssh

Eventos relacionados ao acesso SSH.

webTerminal

Eventos relacionados ao recurso de terminal da web.

workspace

Eventos relacionados a workspaces.

Serviços no nível da conta

Os registros de auditoria no nível da conta estão disponíveis para estes serviços:

Nome do Serviço

Descrição

accountBillableUsage

Ações relacionadas ao acesso de uso faturável no console da conta.

contas

Ações relacionadas ao acesso em nível de conta e gerenciamento de identidade.

AccountsAccessControl

Ações relacionadas às regras de controle de acesso no nível account .

accountsManager

Ações executadas no console account .

logDelivery

Log de configuração de entrega para uso faturável ou logs de auditoria.

oauth2

Ações relacionadas à autenticação OAuth SSO no console da conta.

servicePrincipalCredentials

Ações relacionadas às credenciais da entidade de serviço.

ssoConfigBackend

Configurações de logon único para a conta.

unityCatalog

Ações realizadas no Unity Catalog. Isso também inclui eventos do Delta Sharing, consulte Eventos do Delta Sharing.

Serviço adicional de monitoramento de segurança

Há serviços adicionais e ações associadas para o espaço de trabalho que usam o perfil de segurançacompliance (necessário para alguns padrões compliance, como FedRAMP, PCI e HIPAA) ou o monitoramento de segurança aprimorado.

Estes são serviços de nível de workspaceque só serão gerados em seus logs se você estiver usando o perfil de segurança compliance ou monitoramento de segurança aprimorado:

Nome do Serviço

Descrição

cápsula8-alerta-dataplane

Ações relacionadas ao monitoramento da integridade de arquivos.

clamAVScanService-dataplanel

Ações relacionadas ao monitoramento de antivírus.

monitorar

Ações relacionadas ao monitoramento do processo.

registro de sistema

Ações relacionadas aos logs do sistema.

Exemplo de esquema de registro de auditoria

No Databricks, os logs de auditoria geram eventos no formato JSON. As propriedades serviceName e actionName identificam o evento. A convenção de nomenclatura segue a API RESTdo Databricks.

O exemplo a seguir é para um evento createMetastoreAssignment.

  {
    "version":"2.0",
    "auditLevel":"ACCOUNT_LEVEL",
    "timestamp":1629775584891,
    "orgId":"3049056262456431186970",
    "shardName":"test-shard",
    "accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
    "sourceIPAddress":"10.2.91.100",
    "userAgent":"curl/7.64.1",
    "sessionId":"ephemeral-f836a03a-d360-4792-b081-baba525324312",
    "userIdentity":{
      "email":"crampton.rods@email.com",
      "subjectName":null
    },
    "serviceName":"unityCatalog",
    "actionName":"createMetastoreAssignment",
    "requestId":"ServiceMain-da7fa5878f40002",
    "requestParams":{
      "workspace_id":"30490590956351435170",
      "metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
      "default_catalog_name":"main"
    },
    "response":{
      "statusCode":200,
      "errorMessage":null,
      "result":null
    },
    "MAX_LOG_MESSAGE_LENGTH":16384
  }

Considerações do esquema de log de auditoria

  • Se as ações demorarem muito, a solicitação e a resposta serão registradas em separado, mas o par de solicitação e resposta terá o mesmo requestId.

  • Ações automáticas, como redimensionar um cluster devido ao escalonamento automático ou iniciar uma tarefa devido ao agendamento, são executadas pelo usuário System-User.

  • O campo requestParams está sujeito a truncamento. Se o tamanho de sua representação JSON exceder 100 KB, os valores serão truncados e a string ... truncated será anexada às entradas truncadas. Em casos raros em que um mapa truncado ainda é maior que 100 KB, uma única chave TRUNCATED com um valor vazio está presente.

Eventos da conta

Estes são accounts eventos registrados no nível do workspace.

Serviço

Ação

Descrição

Solicitar parâmetros

accounts

activateUser

Um usuário é reativado após ser desativado. Consulte Desativar usuários no espaço de trabalho.

  • targetUserName

  • endpoint

  • targetUserId

accounts

add

Um usuário é adicionado a um workspace do Databricks.

  • targetUserName

  • endpoint

  • targetUserId

accounts

addPrincipalToGroup

Um usuário é adicionado a um grupo no nível workspace .

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

addX509

Uma conta de usuário é adicionada com um certificado X509 para autenticação

accounts

certLogin

Um usuário log in no Databricks usando a certificação X509.

  • user

accounts

changeDatabricksSqlAcl

As permissões Databricks SQL de um usuário são alteradas.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeDatabricksWorkspaceAcl

As permissões para um workspace são alteradas.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeDbTokenAcl

Quando as permissões em um tokens são alteradas.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changePassword

A senha de um usuário é alterada.

  • newPasswordSource

  • targetUserId

  • serviceSource

  • wasPasswordChanged

  • userId

accounts

changePasswordAcl

As permissões de alteração de senha são alteradas na account.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

accounts

changeServicePrincipalAcls

Quando as permissões de uma entidade de serviço são alteradas.

  • shardName

  • targetServicePrincipal

  • resourceId

  • aclPermissionSet

accounts

createGroup

Um grupo no nível workspaceé criado.

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

createIpAccessList

Uma lista de acesso IP é adicionada ao workspace.

  • ipAccessListId

  • userId

accounts

deactivateUser

Um usuário está desativado no workspace. Consulte Desativar usuários no espaço de trabalho.

  • targetUserName

  • endpoint

  • targetUserId

accounts

delete

Um usuário é excluído do workspace do Databricks.

  • targetUserId

  • targetUserName

  • endpoint

accounts

deleteIpAccessList

Uma lista de acesso IP é excluída do workspace.

  • ipAccessListId

  • userId

accounts

garbageCollectDbToken

Um usuário executa um comando de coleta de lixo em tokens expirados.

  • tokenExpirationTime

  • tokenClientId

  • userId

  • tokenCreationTime

  • tokenFirstAccessed

accounts

generateDbToken

Quando alguém gera tokens nas configurações do usuário ou quando o serviço gera os tokens.

  • tokenExpirationTime

  • tokenCreatedBy

  • tokenHash

  • userId

accounts

IpAccessDenied

Um usuário tenta se conectar ao serviço por meio de um IP negado.

  • path

  • userName

accounts

ipAccessListQuotaExceeded

  • userId

accounts

jwtLogin

O usuário logs no Databricks usando um JWT.

  • user

accounts

login

O usuário logs no workspace.

  • user

accounts

logout

O usuário logs logout do workspace.

  • user

accounts

oidcTokenAuthorization

Quando uma chamada de API é autorizada por meio de tokens OIDC/OAuth genéricos.

  • user

accounts

passwordVerifyAuthentication

  • user

accounts

reachMaxQuotaDbToken

Quando o número atual de tokens não expirados excede a cota de token

accounts

removeAdmin

As permissões de administrador workspace são revogadas a um usuário.

  • targetUserName

  • endpoint

  • targetUserId

accounts

removeGroup

Um grupo é removido do workspace.

  • targetGroupId

  • targetGroupName

  • endpoint

accounts

removePrincipalFromGroup

Um usuário é removido de um grupo.

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

resetPassword

A senha de um usuário é Reset.

  • serviceSource

  • userId

  • endpoint

  • targetUserId

  • targetUserName

  • wasPasswordChanged

  • newPasswordSource

accounts

revokeDbToken

tokens de um usuário são eliminados de um workspace. Pode ser acionado pela remoção de um usuário da account do Databricks.

  • userId

accounts

samlLogin

log in do usuário no Databricks por meio de SAML SSO.

  • user

accounts

setAdmin

Um usuário recebe permissões de administrador account .

  • endpoint

  • targetUserName

  • targetUserId

accounts

tokenLogin

Um usuário logs no Databricks usando tokens.

  • tokenId

  • user

accounts

updateIpAccessList

Uma lista de acesso IP é alterada.

  • ipAccessListId

  • userId

accounts

updateUser

Um administrador account atualiza a account de um usuário.

  • targetUserName

  • endpoint

  • targetUserId

accounts

validateEmail

Quando um usuário valida seu email após a criação account .

  • endpoint

  • targetUserName

  • targetUserId

Eventos de cluster

Estes são cluster eventos registrados no nível do workspace.

Serviço

Ação

Descrição

Solicitar parâmetros

clusters

changeClusterAcl

Um usuário altera a ACL clusters .

  • shardName

  • aclPermissionSet

  • targetUserId

  • resourceId

clusters

create

Um usuário cria clusters.

  • cluster_log_conf

  • num_workers

  • enable_elastic_disk

  • driver_node_type_id

  • start_cluster

  • docker_image

  • ssh_public_keys

  • aws_attributes

  • acl_path_prefix

  • node_type_id

  • instance_pool_id

  • spark_env_vars

  • init_scripts

  • spark_version

  • cluster_source

  • autotermination_minutes

  • cluster_name

  • autoscale

  • custom_tags

  • cluster_creator

  • enable_local_disk_encryption

  • idempotency_token

  • spark_conf

  • organization_id

  • no_driver_daemon

  • user_id

  • virtual_cluster_size

  • apply_policy_default_values

  • data_security_mode

  • runtime_engine

clusters

createResult

Resultados da criação do cluster. Em conjunto com create.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

delete

Um clusters é encerrado.

  • cluster_id

clusters

deleteResult

Resultados do término clusters . Em conjunto com delete.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

edit

Um usuário faz alterações nas configurações de clusters. Isto logs todas as alterações, exceto as alterações no tamanho dos clusters ou no comportamento da escala automática.

  • cluster_log_conf

  • num_workers

  • enable_elastic_disk

  • driver_node_type_id

  • start_cluster

  • docker_image

  • ssh_public_keys

  • aws_attributes

  • acl_path_prefix

  • node_type_id

  • instance_pool_id

  • spark_env_vars

  • init_scripts

  • spark_version

  • cluster_source

  • autotermination_minutes

  • cluster_name

  • autoscale

  • custom_tags

  • cluster_creator

  • enable_local_disk_encryption

  • idempotency_token

  • spark_conf

  • organization_id

  • no_driver_daemon

  • user_id

  • virtual_cluster_size

  • apply_policy_default_values

  • data_security_mode

  • runtime_engine

clusters

permanentDelete

Um clusters é excluído da IU.

  • cluster_id

clusters

resize

clusters redimensionados. Isso é logs em clusters em execução em que a única propriedade que muda é o tamanho do cluster ou o comportamento autoscale .

  • cluster_id

  • num_workers

  • autoscale

clusters

resizeResult

Resultados do redimensionamento clusters . Em conjunto com resize.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

restart

Um usuário reinicia um cluster em execução.

  • cluster_id

clusters

restartResult

Os resultados dos clusters são reiniciados. Em conjunto com restart.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

clusters

start

Um usuário inicia um clusters.

  • init_scripts_safe_mode

  • cluster_id

clusters

startResult

Resultados dos clusters começar. Em conjunto com start.

  • clusterName

  • clusterState

  • clusterId

  • clusterWorkers

  • clusterOwnerUserId

eventos de bibliotecas clusters

Estes são clusterLibraries eventos registrados no nível do workspace.

Serviço

Ação

Descrição

Solicitar parâmetros

clusterLibraries

installLibraries

O usuário instala uma biblioteca em clusters.

  • cluster_id

  • libraries

clusterLibraries

uninstallLibraries

O usuário desinstala uma biblioteca em clusters.

  • cluster_id

  • libraries

clusterLibraries

installLibraryOnAllClusters

Um administrador workspace programa uma biblioteca para instalar em todos os clusters.

  • user

  • library

clusterLibraries

uninstallLibraryOnAllClusters

Um administrador do workspace remove uma biblioteca da lista para instalar em todos os clusters.

  • user

  • library

eventos de política clusters

Estes são clusterPolicies eventos registrados no nível do workspace.

Serviço

Ação

Descrição

Solicitar parâmetros

clusterPolicies

create

Um usuário criou uma política de cluster.

  • name

clusterPolicies

edit

Um usuário editou uma política de cluster.

  • policy_id

  • name

clusterPolicies

delete

Um usuário excluiu uma política de cluster.

  • policy_id

clusterPolicies

changeClusterPolicyAcl

Um administrador workspace altera as permissões de uma política de cluster.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

Eventos de painéis

Estes são dashboards eventos registrados no nível do workspace.

Serviço

Ação

Descrição

Solicitar parâmetros

dashboards

createDashboard

Um usuário cria um novo painel do Lakeview usando a interface do usuário ou a API.

  • dashboard_id

dashboards

updateDashboard

Um usuário faz uma atualização em um painel do Lakeview usando a interface do usuário ou a API.

  • dashboard_id

dashboards

cloneDashboard

Um usuário clona um painel do Lakeview.

  • source_dashboard_id

  • new_dashboard_id

dashboards

publishDashboard

Um usuário publica um painel do Lakeview com ou sem credenciais incorporadas usando a interface do usuário ou a API.

  • dashboard_id

  • credentials_embedded

  • warehouse_id

dashboards

unpublishDashboard

Um usuário cancela a publicação de um painel do Lakeview usando a interface do usuário ou a API.

  • dashboard_id

dashboards

trashDashboard

Um usuário move um painel do Lakeview para a lixeira usando a interface do usuário ou a API.

  • dashboard_id

dashboards

restoreDashboard

Um usuário restaura um painel do Lakeview da lixeira.

  • dashboard_id

dashboards

migrateDashboard

Um usuário migra um painel DBSQL para um painel Lakeview.

  • source_dashboard_id

  • new_dashboard_id

dashboards

createSchedule

Um usuário cria um email inscrição programar.

  • dashboard_id

  • schedule_id

dashboards

updateSchedule

Um usuário faz uma atualização em um programar do painel Lakeview.

  • dashboard_id

  • schedule_id

dashboards

deleteSchedule

Um usuário exclui um programar do painel Lakeview.

  • dashboard_id

  • schedule_id

dashboards

createSubscription

Um usuário inscreve um destino email em um programa de painel Lakeview.

  • dashboard_id

  • schedule_id

  • schedule

dashboards

deleteSubscription

Um usuário exclui um destino email de um programa de painel de controle Lakeview.

  • dashboard_id

  • schedule_id

Eventos Databricks SQL

Estes são databrickssql eventos registrados no nível do workspace.

Observação

Se você gerenciar seu SQL warehouse usando a API SQL endpoint herdada, os eventos de auditoria SQL warehouse terão nomes de ação diferentes. Consulte SQL endpoint logs.

Serviço

Ação

Descrição

Solicitar parâmetros

databrickssql

addDashboardWidget

Um widget é adicionado a um painel.

  • dashboardId

  • widgetId

databrickssql

cancelQueryExecution

Uma execução query é cancelada na interface do editor SQL. Isto não inclui cancelamentos originados da UI Query History ou da API de Execução Databricks SQL .

  • queryExecutionId

databrickssql

changeWarehouseAcls

Um gerente de warehouse atualiza permissões em um SQL warehouse.

  • aclPermissionSet

  • resourceId

  • shardName

  • targetUserId

databrickssql

changePermissions

Um usuário atualiza permissões em um objeto.

  • granteeAndPermission

  • objectId

  • objectType

databrickssql

cloneDashboard

Um usuário clona um painel.

  • dashboardId

databrickssql

commandSubmit

Somente em logs de auditoria detalhados. Gerado quando um comando é enviado a um SQL warehouse, independentemente da origem da solicitação.

  • warehouseId

  • commandId

  • validation

  • commandText

databrickssql

commandFinish

Somente em logs de auditoria detalhados. Gerado quando um comando em um SQL warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento.

  • warehouseId

  • commandId

databrickssql

createAlert

Um usuário cria um alerta.

  • alertId

databrickssql

createNotificationDestination

Um administrador do workspace cria um destino de notificação.

  • notificationDestinationId

  • notificationDestinationType

databrickssql

createDashboard

Um usuário cria um painel.

  • dashboardId

databrickssql

createDataPreviewDashboard

Um usuário cria um painel de visualização de dados.

  • dashboardId

databrickssql

createWarehouse

Um usuário com o direito de criação de clusters cria um SQL warehouse.

  • auto_resume

  • auto_stop_mins

  • channel

  • cluster_size

  • conf_pairs

  • custom_cluster_confs

  • enable_databricks_compute

  • enable_photon

  • enable_serverless_compute

  • instance_profile_arn

  • max_num_clusters

  • min_num_clusters

  • name

  • size

  • spot_instance_policy

  • tags

  • test_overrides

databrickssql

createQuery

Um usuário cria uma query salvando um rascunho query .

  • queryId

databrickssql

createQueryDraft

Um usuário cria um rascunho query .

  • queryId

databrickssql

createQuerySnippet

Um usuário cria um snippet query .

  • querySnippetId

databrickssql

createSampleDashboard

Um usuário cria um painel de amostra.

  • sampleDashboardId

databrickssql

createVisualization

Um usuário gera uma visualização usando o editor SQL. Exclui tabelas de resultados default e visualizações no Notebook que utilizam SQL warehouse.

  • queryId

  • visualizationId

databrickssql

deleteAlert

Um usuário exclui um alerta da interface de alerta ou por meio da API. Exclui exclusões da interface do navegador de arquivos.

  • alertId

databrickssql

deleteNotificationDestination

Um administrador do workspace exclui um destino de notificação.

  • notificationDestinationId

databrickssql

deleteDashboard

Um usuário exclui um painel da interface do painel ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos.

  • dashboardId

databrickssql

deleteDashboardWidget

Um usuário exclui um widget de painel.

  • widgetId

databrickssql

deleteWarehouse

Um gerente de warehouse exclui um SQL warehouse.

  • id

databrickssql

deleteQuery

Um usuário exclui uma query, seja da interface query ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos.

  • queryId

databrickssql

deleteQueryDraft

Um usuário exclui um rascunho query .

  • queryId

databrickssql

deleteQuerySnippet

Um usuário exclui um snippet query .

  • querySnippetId

databrickssql

deleteVisualization

Um usuário exclui uma visualização de uma query no Editor SQL.

  • visualizationId

databrickssql

downloadQueryResult

Um usuário downloads um resultado query do Editor SQL. Exclui downloads de painéis.

  • fileType

  • queryId

  • queryResultId

databrickssql

editWarehouse

Um gerente de warehouse faz edições em um SQL warehouse.

  • auto_stop_mins

  • channel

  • cluster_size

  • confs

  • enable_photon

  • enable_serverless_compute

  • id

  • instance_profile_arn

  • max_num_clusters

  • min_num_clusters

  • name

  • spot_instance_policy

  • tags

databrickssql

executeAdhocQuery

Gerado por um dos seguintes:

  • Um usuário executando um rascunho query no editor SQL

  • Uma query é executada a partir de uma agregação de visualização

  • Um usuário carrega um painel e executa querysubjacente

  • dataSourceId

databrickssql

executeSavedQuery

Um usuário executa uma query salva.

  • queryId

databrickssql

executeWidgetQuery

Gerado por qualquer evento que executa uma query de forma que um painel refresh. Alguns exemplos de eventos aplicáveis incluem:

  • Atualizando um único painel

  • Atualizando um painel inteiro

  • Execuções agendadas de painel

  • Alterações de parâmetros ou filtros operando em mais de 64.000 linhas

  • widgetId

databrickssql

favoriteDashboard

Um usuário adiciona um painel como favorito.

  • dashboardId

databrickssql

favoriteQuery

Um usuário adiciona uma query aos favoritos.

  • queryId

databrickssql

forkQuery

Um usuário clona uma query.

  • originalQueryId

  • queryId

databrickssql

listQueries

Um usuário abre a página de listagem query ou chama a API query de lista.

  • filter_by

  • include_metrics

  • max_results

  • page_token

databrickssql

moveDashboardToTrash

Um usuário move um painel para a lixeira.

  • dashboardId

databrickssql

moveQueryToTrash

Um usuário move uma query para a lixeira.

  • queryId

databrickssql

muteAlert

Um usuário silencia um alerta por meio da API.

  • alertId

databrickssql

restoreDashboard

Um usuário restaura um painel da lixeira.

  • dashboardId

databrickssql

restoreQuery

Um usuário restaura uma query da lixeira.

  • queryId

databrickssql

setWarehouseConfig

Um gerente de warehouse define a configuração de um SQL warehouse.

  • data_access_config

  • enable_serverless_compute

  • instance_profile_arn

  • security_policy

  • serverless_agreement

  • sql_configuration_parameters

  • try_create_databricks_managed_starter_warehouse

databrickssql

snapshotDashboard

Um usuário solicita um Snapshot de um painel. Inclui Snapshot do painel agendado.

  • dashboardId

databrickssql

startWarehouse

Um SQL warehouse está começando.

  • id

databrickssql

stopWarehouse

Um gerente de warehouse interrompe um SQL warehouse. Exclui armazéns parados automaticamente.

  • id

databrickssql

transferObjectOwnership

Um administrador de espaço de trabalho transfere a propriedade de um painel, query ou alerta para um usuário ativo.

  • newOwner

  • objectId

  • objectType

databrickssql

unfavoriteDashboard

Um usuário remove um painel de seus favoritos.

  • dashboardId

databrickssql

unfavoriteQuery

Um usuário remove uma query de seus favoritos.

  • queryId

databrickssql

unmuteAlert

Um usuário ativa o som de um alerta por meio da API

  • alertId.

databrickssql

updateAlert

Um usuário faz atualizações em um alerta.

  • alertId

  • queryId

databrickssql

updateNotificationDestination

Um administrador do workspace faz uma atualização em um destino de notificação.

  • notificationDestinationId

databrickssql

updateDashboardWidget

Um usuário faz uma atualização em um widget do painel. Exclui alterações na escala do eixo. Exemplos de atualizações aplicáveis incluem:

  • Alterar o tamanho ou posicionamento do widget

  • Adicionando ou removendo parâmetros de widget

  • widgetId

databrickssql

updateDashboard

Um usuário faz uma atualização em uma propriedade do painel. Exclui alterações de programar e inscrição. Exemplos de atualizações aplicáveis incluem:

  • Alteração no nome do painel

  • Mudança para o SQL warehouse

  • Alterar para configurações de execução como

  • dashboardId

databrickssql

updateOrganizationSetting

Um administrador workspace faz atualizações nas configurações SQL do workspace .

  • has_configured_data_access

  • has_explored_sql_warehouses

  • has_granted_permissions

databrickssql

updateQuery

Um usuário faz uma atualização em uma query.

  • queryId

databrickssql

updateQueryDraft

Um usuário atualiza um rascunho query .

  • queryId

databrickssql

updateQuerySnippet

Um usuário atualiza um snippet query .

  • querySnippetId

databrickssql

updateVisualization

Um usuário atualiza uma visualização no Editor SQL ou no painel.

  • visualizationId

eventos DBFS

As tabelas a seguir incluem logs de eventos dbfs no nível do workspace .

Existem dois tipos de eventos DBFS: chamadas de API e eventos operacionais.

Eventos da API do DBFS

Os seguintes eventos de auditoria do DBFS são logs somente quando gravados por meio da API REST do DBFS.

Serviço

Ação

Descrição

Solicitar parâmetros

dbfs

addBlock

O usuário anexa um bloco de dados à transmissão. Isso é usado em conjunto com dbfs/create para transmissão de dados para DBFS.

  • handle

  • data_length

dbfs

create

O usuário abre uma transmissão para gravar um arquivo nos DBFs.

  • path

  • bufferSize

  • overwrite

dbfs

delete

O usuário exclui o arquivo ou diretório dos DBFs.

  • recursive

  • path

dbfs

mkdirs

O usuário cria um novo diretório DBFS.

  • path

dbfs

move

O usuário move um arquivo de um local para outro dentro dos DBFs.

  • dst

  • source_path

  • src

  • destination_path

dbfs

put

O usuário upload um arquivo por meio do uso de postagem de formulário multiparte para DBFs.

  • path

  • overwrite

Eventos operacionais do DBFS

Os seguintes eventos de auditoria DBFS ocorrem no plano compute .

Serviço

Ação

Descrição

Solicitar parâmetros

dbfs

mount

O usuário cria um ponto de montagem em um determinado local do DBFS.

  • mountPoint

  • owner

dbfs

unmount

O usuário remove um ponto de montagem em um determinado local do DBFS.

  • mountPoint

Eventos de oleodutos Delta

Serviço

Ação

Descrição

Solicitar parâmetros

deltaPipelines

changePipelineAcls

Um usuário altera permissões em um pipeline.

  • shardId

  • targetUserId

  • resourceId

  • aclPermissionSet

deltaPipelines

create

Um usuário cria um pipeline Delta Live Tables.

  • allow_duplicate_names

  • clusters

  • configuration

  • continuous

  • development

  • dry_run

  • id

  • libraries

  • name

  • storage

  • target

  • channel

  • edition

  • photon

deltaPipelines

delete

Um usuário exclui um pipeline Delta Live Tables.

  • pipeline_id

deltaPipelines

edit

Um usuário edita um pipeline Delta Live Tables.

  • allow_duplicate_names

  • clusters

  • configuration

  • continuous

  • development

  • expected_last_modified

  • id

  • libraries

  • name

  • pipeline_id

  • storage

  • target

  • channel

  • edition

  • photon

deltaPipelines

startUpdate

Um usuário reinicia um pipeline Delta Live Tables.

  • cause

  • full_refresh

  • job_task

  • pipeline_id

deltaPipelines

stop

Um usuário interrompe um pipeline do Delta Live Tables.

  • pipeline_id

repositório de recursos eventos

Os seguintes eventos featureStore são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

featureStore

addConsumer

Um consumidor é adicionado ao repositório de recursos.

  • features

  • job_run

  • notebook

featureStore

addDataSources

Uma fonte de dados é adicionada a uma tabela de recursos.

  • feature_table

  • paths, tables

featureStore

addProducer

Um produtor é adicionado a uma tabela de recursos.

  • feature_table

  • job_run

  • notebook

featureStore

changeFeatureTableAcl

As permissões são alteradas em uma tabela de recursos.

  • aclPermissionSet

  • resourceId

  • shardName

  • targetUserId

featureStore

createFeatureTable

Uma tabela de recursos é criada.

  • description

  • name

  • partition_keys

  • primary_keys

  • timestamp_keys

featureStore

createFeatures

recurso são criados em uma tabela de recursos.

  • feature_table

  • features

featureStore

deleteFeatureTable

Uma tabela de recursos é excluída.

  • name

featureStore

deleteTags

Tags são deletadas de uma tabela de recursos.

  • feature_table_id

  • keys

featureStore

getConsumers

Um usuário faz uma chamada para obter os consumidores em uma tabela de recursos.

  • feature_table

featureStore

getFeatureTable

Um usuário faz uma chamada para obter tabelas de recursos.

  • name

featureStore

getFeatureTablesById

Um usuário faz uma chamada para obter IDs de tabelas de recursos.

  • ids

featureStore

getFeatures

Um usuário faz uma chamada para obter recurso.

  • feature_table

  • max_results

featureStore

getModelServingMetadata

Um usuário faz uma chamada para obter metadados de modelo prático.

  • feature_table_features

featureStore

getOnlineStore

Um usuário faz uma ligação para obter detalhes do armazenamento online.

  • cloud

  • feature_table

  • online_table

  • store_type

featureStore

getTags

Um usuário faz uma chamada para obter tags para uma tabela de recursos.

  • feature_table_id

featureStore

publishFeatureTable

Uma tabela de recursos é publicada.

  • cloud

  • feature_table

  • host

  • online_table

  • port

  • read_secret_prefix

  • store_type

  • write_secret_prefix

featureStore

searchFeatureTables

Um usuário procura tabelas de recursos.

  • max_results

  • page_token

  • text

featureStore

setTags

tags são adicionadas a uma tabela de recursos.

  • feature_table_id

  • tags

featureStore

updateFeatureTable

Uma tabela de recursos é atualizada.

  • description

  • name

Eventos da API de arquivos

Os seguintes eventos filesystem são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

filesystem

filesGet

Arquivo downloads do usuário.

  • path

  • transferredSize

filesystem

filesPut

Arquivo upload do usuário.

  • path

  • receivedSize

filesystem

filesDelete

O usuário exclui o arquivo.

  • path

filesystem

filesHead

O usuário obtém informações sobre o arquivo.

  • path

eventos de gênio

Os seguintes eventos genie são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

genie

databricksAccess

Um pessoal da Databricks está autorizado a aceder a um ambiente de cliente.

  • duration

  • approver

  • reason

  • authType

  • user

Eventos de credenciais do Git

Os seguintes eventos gitCredentials são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

gitCredentials

getGitCredential

Um usuário obtém credenciais git.

  • id

gitCredentials

listGitCredentials

Um usuário lista todas as credenciais git

nenhum

gitCredentials

deleteGitCredential

Um usuário exclui uma credencial git.

  • id

gitCredentials

updateGitCredential

Um usuário atualiza uma credencial git.

  • id

  • git_provider

  • git_username

gitCredentials

createGitCredential

Um usuário cria uma credencial git.

  • git_provider

  • git_username

Eventos globais init script

Os seguintes eventos globalInitScripts são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

globalInitScripts

create

Um administrador workspace cria um script de inicialização global.

  • name

  • position

  • script-SHA256

  • enabled

globalInitScripts

update

Um administrador workspace atualiza um script de inicialização global.

  • script_id

  • name

  • position

  • script-SHA256

  • enabled

globalInitScripts

delete

Um administrador do workspace exclui um script de inicialização global.

  • script_id

Grupos de eventos

Os eventos groups a seguir são logs no nível do workspace . Essas ações estão relacionadas a grupos ACL herdados. Para ações relacionadas a grupos em nível de conta e de workspace , consulte Eventos de conta e Eventos de conta em nível de conta.

Serviço

Ação

Descrição

Solicitar parâmetros

groups

addPrincipalToGroup

Um administrador adiciona um usuário a um grupo.

  • user_name

  • parent_name

groups

createGroup

Um administrador cria um grupo.

  • group_name

groups

getGroupMembers

Um administrador view os membros do grupo.

  • group_name

groups

getGroups

Um administrador view uma lista de grupos

nenhum

groups

getInheritedGroups

Grupos herdados view de administração

nenhum

groups

removeGroup

Um administrador remove um grupo.

  • group_name

Eventos IAM role

O seguinte evento iamRole é logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

iamRole

changeIamRoleAcl

Um administrador do espaço de trabalho altera as permissões de uma IAM role.

  • targetUserId

  • shardName

  • resourceId

  • aclPermissionSet

Eventos de ingestão

O seguinte evento ingestion é logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

ingestion

proxyFileUpload

Um usuário faz upload de um arquivo para o Databricks workspace.

  • x-databricks-content-length-0

  • x-databricks-total-files

Eventos do pool de instâncias

Os seguintes eventos instancePools são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

instancePools

changeInstancePoolAcl

Um usuário altera as permissões de um pool de instâncias.

  • shardName

  • resourceId

  • targetUserId

  • aclPermissionSet

instancePools

create

Um usuário cria um pool de instâncias.

  • enable_elastic_disk

  • preloaded_spark_versions

  • idle_instance_autotermination_minutes

  • instance_pool_name

  • node_type_id

  • custom_tags

  • max_capacity

  • min_idle_instances

  • aws_attributes

instancePools

delete

Um usuário exclui um pool de instâncias.

  • instance_pool_id

instancePools

edit

Um usuário edita um pool de instâncias.

  • instance_pool_name

  • idle_instance_autotermination_minutes

  • min_idle_instances

  • preloaded_spark_versions

  • max_capacity

  • enable_elastic_disk

  • node_type_id

  • instance_pool_id

  • aws_attributes

Eventos Job

Os seguintes eventos jobs são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

jobs

cancel

Uma execução Job é cancelada.

  • run_id

jobs

cancelAllRuns

Um usuário cancela toda a execução em um Job.

  • job_id

jobs

changeJobAcl

Um usuário atualiza permissões em um Job.

  • shardName

  • aclPermissionSet

  • resourceId

  • targetUserId

jobs

create

Um usuário cria um Job.

  • spark_jar_task

  • email_notifications

  • notebook_task

  • spark_submit_task

  • timeout_seconds

  • libraries

  • name

  • spark_python_task

  • job_type

  • new_cluster

  • existing_cluster_id

  • max_retries

  • schedule

  • run_as

jobs

delete

Um usuário exclui um Job.

  • job_id

jobs

deleteRun

Um usuário exclui uma execução Job .

  • run_id

jobs

getRunOutput

Um usuário faz uma chamada de API para obter uma saída de execução.

  • run_id

  • is_from_webapp

jobs

repairRun

Um usuário repara uma execução Job .

  • run_id

  • latest_repair_id

  • rerun_tasks

jobs

reset

Um Job é Reset.

  • job_id

  • new_settings

jobs

resetJobAcl

Um usuário solicita a alteração das permissões de um Job .

  • grants

  • job_id

jobs

runCommand

Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após um comando em um Notebook ser executado por uma execução Job . Um comando corresponde a uma célula em um Notebook.

  • jobId

  • runId

  • notebookId

  • executionTime

  • status

  • commandId

  • commandText

jobs

runFailed

Uma execução Job falha.

  • jobClusterType

  • jobTriggerType

  • jobId

  • jobTaskType

  • runId

  • jobTerminalState

  • idInJob

  • orgId

  • runCreatorUserName

jobs

runNow

Um usuário aciona uma execução Job sob demanda.

  • notebook_params

  • job_id

  • jar_params

  • workflow_context

jobs

runStart

Emitido quando uma execução Job começa após a validação e criação de clusters. Os parâmetros de solicitação emitidos a partir deste evento dependem do tipo de tarefa do Job. Além dos parâmetros listados, eles podem incluir:

  • dashboardId (para uma tarefa do painel SQL)

  • filePath (para uma tarefa de arquivo SQL)

  • notebookPath (para uma tarefa Notebook )

  • mainClassName (para uma tarefa Spark JAR)

  • pythonFile (para uma tarefa Spark JAR)

  • projectDirectory (para uma tarefa dbt)

  • commands (para uma tarefa dbt)

  • packageName (para uma tarefa de Python wheel)

  • entryPoint (para uma tarefa de Python wheel)

  • pipelineId (para uma tarefa de pipeline)

  • queryIds (para uma tarefa query SQL)

  • alertId (para uma tarefa de alerta SQL)

  • taskDependencies

  • multitaskParentRunId

  • orgId

  • idInJob

  • jobId

  • jobTerminalState

  • taskKey

  • jobTriggerType

  • jobTaskType

  • runId

  • runCreatorUserName

jobs

runSucceeded

Uma execução Job foi bem-sucedida.

  • idInJob

  • jobId

  • jobTriggerType

  • orgId

  • runId

  • jobClusterType

  • jobTaskType

  • jobTerminalState

  • runCreatorUserName

jobs

runTriggered

Um programador Job é acionado automaticamente de acordo com seu programar ou gatilho.

  • jobId

  • jobTriggeredType

  • runId

jobs

sendRunWebhook

Um webhook é enviado quando o Job é iniciado, concluído ou falha.

  • orgId

  • jobId

  • jobWebhookId

  • jobWebhookEvent

  • runId

jobs

setTaskValue

Um usuário define valores para uma tarefa.

  • run_id

  • key

jobs

submitRun

Um usuário envia uma execução única por meio da API.

  • shell_command_task

  • run_name

  • spark_python_task

  • existing_cluster_id

  • notebook_task

  • timeout_seconds

  • libraries

  • new_cluster

  • spark_jar_task

jobs

update

Um usuário edita as configurações de um Job .

  • job_id

  • fields_to_remove

  • new_settings

  • is_from_dlt

Eventos do consumidor do mercado

Os seguintes eventos marketplaceConsumer são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

marketplaceConsumer

getDataProduct

Um usuário obtém acesso a um produto de dados por meio do Databricks Marketplace.

  • listing_id

  • listing_name

  • share_name

  • catalog_name

  • request_context: Matriz de informações sobre a account e o metastore que obtiveram acesso ao produto de dados

marketplaceConsumer

requestDataProduct

Um usuário solicita acesso a um produto de dados que requer aprovação do fornecedor.

  • listing_id

  • listing_name

  • catalog_name

  • request_context: Matriz de informações sobre a account e o metastore solicitando acesso ao produto de dados

Eventos do provedor de mercado

Os seguintes eventos marketplaceProvider são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

marketplaceProvider

createListing

Um administrador do metastore cria uma listagem em seu perfil de provedor.

  • listing: Matriz de detalhes sobre a listagem

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

updateListing

Um administrador do metastore atualiza uma listagem em seu perfil de provedor.

  • id

  • listing: Matriz de detalhes sobre a listagem

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

deleteListing

Um administrador do metastore exclui uma listagem em seu perfil de provedor.

  • id

  • request_context: Matriz de detalhes sobre a account e o metastore do provedor

marketplaceProvider

updateConsumerRequestStatus

Os administradores do metastore aprovam ou negam uma solicitação de produto de dados.

  • listing_id

  • request_id

  • status

  • reason

  • share: Matriz de informações sobre o compartilhamento

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

createProviderProfile

Um administrador do metastore cria um perfil de provedor.

  • provider: Array de informações sobre o provedor

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

updateProviderProfile

Um administrador do metastore faz uma atualização no perfil do provedor.

  • id

  • provider: Array de informações sobre o provedor

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

deleteProviderProfile

Um administrador do metastore exclui seu perfil de provedor.

  • id

  • request_context: Matriz de informações sobre a account e o metastore do provedor

marketplaceProvider

uploadFile

Um provedor upload um arquivo em seu perfil de provedor.

  • request_context: Matriz de informações sobre a account e o metastore do provedor

  • marketplace_file_type

  • display_name

  • mime_type

  • file_parent: Matriz de detalhes do pai do arquivo

marketplaceProvider

deleteFile

Um provedor exclui um arquivo do seu perfil de provedor.

  • file_id

  • request_context: Matriz de informações sobre a account e o metastore do provedor

Artefatos MLflow com eventos ACL

Os seguintes eventos mlflowAcledArtifact são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

mlflowAcledArtifact

readArtifact

Um usuário faz uma chamada para ler um artefato.

  • artifactLocation

  • experimentId

  • runId

mlflowAcledArtifact

writeArtifact

Um usuário faz uma chamada para gravar em um artefato.

  • artifactLocation

  • experimentId

  • runId

Eventos de experimento do MLflow

Os seguintes eventos mlflowExperiment são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

mlflowExperiment

createMlflowExperiment

Um usuário cria um experimento MLflow.

  • experimentId

  • path

  • experimentName

mlflowExperiment

deleteMlflowExperiment

Um usuário exclui um experimento do MLflow.

  • experimentId

  • path

  • experimentName

mlflowExperiment

moveMlflowExperiment

Um usuário move um experimento MLflow.

  • newPath

  • experimentId

  • oldPath

mlflowExperiment

restoreMlflowExperiment

Um usuário restaura um experimento MLflow.

  • experimentId

  • path

  • experimentName

mlflowExperiment

renameMlflowExperiment

Um usuário renomeia um experimento MLflow.

  • oldName

  • newName

  • experimentId

  • parentPath

Eventos de MLflow Model Registry

Os seguintes eventos mlflowModelRegistry são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

modelRegistry

approveTransitionRequest

Um usuário aprova uma solicitação de transição de estágio de versão de modelo.

  • name

  • version

  • stage

  • archive_existing_versions

modelRegistry

changeRegisteredModelAcl

Um usuário atualiza as permissões de um modelo registrado.

  • registeredModelId

  • userId

modelRegistry

createComment

Um usuário publica um comentário sobre uma versão do modelo.

  • name

  • version

modelRegistry

createModelVersion

Um usuário cria uma versão do modelo.

  • name

  • source

  • run_id

  • tags

  • run_link

modelRegistry

createRegisteredModel

Um usuário cria um novo modelo registrado

  • name

  • tags

modelRegistry

createRegistryWebhook

O usuário cria um webhook para eventos do Model Registry.

  • orgId

  • registeredModelId

  • events

  • description

  • status

  • creatorId

  • httpUrlSpec

modelRegistry

createTransitionRequest

Um usuário cria uma solicitação de transição de estágio de versão de modelo.

  • name

  • version

  • stage

modelRegistry

deleteComment

Um usuário exclui um comentário em uma versão de modelo.

  • id

modelRegistry

deleteModelVersion

Um usuário exclui uma versão do modelo.

  • name

  • version

modelRegistry

deleteModelVersionTag

Um usuário exclui tags de versão de modelo.

  • name

  • version

  • key

modelRegistry

deleteRegisteredModel

Um usuário exclui um modelo registrado

  • name

modelRegistry

deleteRegisteredModelTag

Um usuário exclui as tags de um modelo registrado.

  • name

  • key

modelRegistry

deleteRegistryWebhook

O usuário exclui um webhook Model Registry .

  • orgId

  • webhookId

modelRegistry

deleteTransitionRequest

Um usuário cancela uma solicitação de transição de estágio de versão de modelo.

  • name

  • version

  • stage

  • creator

modelRegistry

finishCreateModelVersionAsync

Cópia de modelo assíncrono concluída.

  • name

  • version

modelRegistry

generateBatchInferenceNotebook

inferência de lotes Notebook é gerado automaticamente.

  • userId

  • orgId

  • modelName

  • inputTableOpt

  • outputTablePathOpt

  • stageOrVersion

  • modelVersionEntityOpt

  • notebookPath

modelRegistry

generateDltInferenceNotebook

O Inference Notebook para um pipeline Delta Live Tables é gerado automaticamente.

  • userId

  • orgId

  • modelName

  • inputTable

  • outputTable

  • stageOrVersion

  • notebookPath

modelRegistry

getModelVersionDownloadUri

Um usuário obtém um URI para downloads a versão do modelo.

  • name

  • version

modelRegistry

getModelVersionSignedDownloadUri

Um usuário obtém um URI para downloads uma versão de modelo assinada.

  • name

  • version

  • path

modelRegistry

listModelArtifacts

Um usuário faz uma chamada para listar os artefatos de um modelo.

  • name

  • version

  • path

  • page_token

modelRegistry

listRegistryWebhooks

Um usuário faz uma chamada para listar todos os webhooks de registro no modelo.

  • orgId

  • registeredModelId

modelRegistry

rejectTransitionRequest

Um usuário rejeita uma solicitação de transição de estágio de versão de modelo.

  • name

  • version

  • stage

modelRegistry

renameRegisteredModel

Um usuário renomeia um modelo registrado

  • name

  • new_name

modelRegistry

setEmailSubscriptionStatus

Um usuário atualiza o status de inscrição email para um modelo registrado

modelRegistry

setModelVersionTag

Um usuário define tags de versão de modelo.

  • name

  • version

  • key

  • value

modelRegistry

setRegisteredModelTag

Um usuário define tags de versão de modelo.

  • name

  • key

  • value

modelRegistry

setUserLevelEmailSubscriptionStatus

Um usuário atualiza o status das notificações email para todo o registro.

  • orgId

  • userId

  • subscriptionStatus

modelRegistry

testRegistryWebhook

Um usuário testa o webhook do Model Registry.

  • orgId

  • webhookId

modelRegistry

transitionModelVersionStage

Um usuário obtém uma lista de todas as solicitações de transição de estágio aberto para a versão do modelo.

  • name

  • version

  • stage

  • archive_existing_versions

modelRegistry

triggerRegistryWebhook

Um webhook do Model Registry é acionado por um evento.

  • orgId

  • registeredModelId

  • events

  • status

modelRegistry

updateComment

Um usuário publica uma edição em um comentário sobre uma versão de modelo.

  • id

modelRegistry

updateRegistryWebhook

Um usuário atualiza um webhook do Model Registry.

  • orgId

  • webhookId

Modelar eventos de veiculação

Os seguintes eventos serverlessRealTimeInference são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

serverlessRealTimeInference

changeInferenceEndpointAcl

O usuário atualiza permissões para um endpoint de inferência.

  • shardName

  • targetUserId

  • resourceId

  • aclPermissionSet

serverlessRealTimeInference

createServingEndpoint

O usuário cria um endpoint de modelo de atividade.

  • name

  • config

serverlessRealTimeInference

deleteServingEndpoint

O usuário exclui um endpoint de modelo de atividade.

  • name

serverlessRealTimeInference

disable

O usuário desativa o modelo de atividade para um modelo cadastrado.

  • registered_mode_name

serverlessRealTimeInference

enable

O usuário habilita o modelo de navegação para um modelo cadastrado.

  • registered_mode_name

serverlessRealTimeInference

getQuerySchemaPreview

Os usuários fazem uma chamada para obter a visualização do esquema query .

  • endpoint_name

serverlessRealTimeInference

updateServingEndpoint

O usuário atualiza um endpoint de modelo de atividade.

  • name

  • served_models

  • traffic_config

eventos Notebook

Os seguintes eventos notebook são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

notebook

attachNotebook

Um Notebook é anexado a clusters.

  • path

  • clusterId

  • notebookId

notebook

cloneNotebook

Um usuário clona um Notebook.

  • notebookId

  • path

  • clonedNotebookId

  • destinationPath

notebook

createNotebook

Um Notebook é criado.

  • notebookId

  • path

notebook

deleteFolder

Uma pasta Notebook é excluída.

  • path

notebook

deleteNotebook

Um Notebook é excluído.

  • notebookId

  • notebookName

  • path

notebook

detachNotebook

Um Notebook é separado de clusters.

  • notebookId

  • clusterId

  • path

notebook

downloadLargeResults

Um usuário downloads resultados query muito grandes para serem exibidos no Notebook.

  • notebookId

  • notebookFullPath

notebook

downloadPreviewResults

Um usuário downloads os resultados query .

  • notebookId

  • notebookFullPath

notebook

importNotebook

Um usuário importa um Notebook.

  • path

notebook

moveFolder

Uma pasta Notebook é movida de um local para outro.

  • oldPath

  • newPath

  • folderId

notebook

moveNotebook

Um Notebook é movido de um local para outro.

  • newPath

  • oldPath

  • notebookId

notebook

renameNotebook

Um Notebook foi renomeado.

  • newName

  • oldName

  • parentPath

  • notebookId

notebook

restoreFolder

Uma pasta excluída é restaurada.

  • path

notebook

restoreNotebook

Um Notebook excluído é restaurado.

  • path

  • notebookId

  • notebookName

notebook

runCommand

Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após o Databricks executar um comando em um Notebook. Um comando corresponde a uma célula em um Notebook.

executionTime é medido em segundos.

  • notebookId

  • executionTime

  • status

  • commandId

  • commandText

  • commandLanguage

notebook

takeNotebookSnapshot

Notebook Snapshot são obtidos quando o Job serviço ou o mlflow são executados.

  • path

Partner Connect eventos

Os seguintes eventos partnerHub são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

partnerHub

createOrReusePartnerConnection

Um administrador do espaço de trabalho configura uma conexão com parceiros soluções.

  • partner_name

partnerHub

deletePartnerConnection

Um administrador do espaço de trabalho exclui uma conexão de parceiros.

  • partner_name

partnerHub

downloadPartnerConnectionFile

Um administrador do espaço de trabalho downloads o arquivo de conexão de parceiros.

  • partner_name

partnerHub

setupResourcesForPartnerConnection

Um administrador do espaço de trabalho configura recurso para uma conexão de parceiros.

  • partner_name

Eventos de serviço de histórico remoto

Os seguintes eventos remoteHistoryService são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

remoteHistoryService

addUserGitHubCredentials

O usuário adiciona credenciais do Github

nenhum

remoteHistoryService

deleteUserGitHubCredentials

O usuário remove as credenciais do Github

nenhum

remoteHistoryService

updateUserGitHubCredentials

O usuário atualiza as credenciais do Github

nenhum

Eventos da pasta Git

Os seguintes eventos repos são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

repos

checkoutBranch

Um usuário faz check-out de uma ramificação no repo.

  • id

  • branch

repos

commitAndPush

Um usuário commit e envia para um repo.

  • id

  • message

  • files

  • checkSensitiveToken

repos

createRepo

Um usuário cria um repositório no workspace

  • url

  • provider

  • path

repos

deleteRepo

Um usuário exclui um repo.

  • id

repos

discard

Um usuário descarta um commit para um repo.

  • id

  • file_paths

repos

getRepo

Um usuário faz uma chamada para obter informações sobre um único repo.

  • id

repos

listRepos

Um usuário faz uma chamada para obter todos repo para os quais possui permissões de gerenciamento.

  • path_prefix

  • next_page_token

repos

pull

Um usuário extrai o commit mais recente de um repo.

  • id

repos

updateRepo

Um usuário atualiza o repo para um branch ou tags diferentes ou para o commit mais recente no mesmo branch.

  • id

  • branch

  • tag

  • git_url

  • git_provider

Eventos secretos

Os seguintes eventos secrets são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

secrets

createScope

O usuário cria um Secret Scope.

  • scope

  • initial_manage_principal

  • scope_backend_type

secrets

deleteAcl

O usuário exclui ACLs para um Secret Scope.

  • scope

  • principal

secrets

deleteScope

O usuário exclui um Secret Scope.

  • scope

secrets

deleteSecret

O usuário exclui um segredo de um escopo.

  • key

  • scope

secrets

getAcl

O usuário obtém ACLs para um Secret Scope.

  • scope

  • principal

secrets

getSecret

O usuário obtém um segredo de um escopo.

  • key

  • scope

secrets

listAcls

O usuário faz uma chamada para listar ACLs para um Secret Scope.

  • scope

secrets

listScopes

O usuário faz uma chamada para listar Secret Scope

nenhum

secrets

listSecrets

O usuário faz uma chamada para listar segredos dentro de um escopo.

  • scope

secrets

putAcl

O usuário altera ACLs para um Secret Scope.

  • scope

  • principal

  • permission

secrets

putSecret

O usuário adiciona ou edita um segredo dentro de um escopo.

  • string_value

  • key

  • scope

Eventos de acesso à tabela SQL

Observação

O serviço sqlPermissions inclui eventos relacionados ao controle de acesso herdado Hive metastore da tabela. Databricks recomenda que você atualize as tabelas gerenciadas pelo Hive metastore para o metastore Unity Catalog .

Os seguintes eventos sqlPermissions são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

sqlPermissions

changeSecurableOwner

administrador workspace ou proprietário de um objeto transfere a propriedade do objeto.

  • securable

  • principal

sqlPermissions

createSecurable

O usuário cria um objeto protegível.

  • securable

sqlPermissions

denyPermission

O proprietário do objeto nega privilégios em um objeto protegível.

  • permission

sqlPermissions

grantPermission

O proprietário do objeto concede permissão em um objeto protegido.

  • permission

sqlPermissions

removeAllPermissions

O usuário descarta um objeto protegível.

  • securable

sqlPermissions

renameSecurable

O usuário renomeia um objeto protegível.

  • before

  • after

sqlPermissions

requestPermissions

O usuário solicita permissões em um objeto protegível.

  • requests

sqlPermissions

revokePermission

O proprietário do objeto revoga permissões em seu objeto protegido.

  • permission

sqlPermissions

showPermissions

Permissões de objetos protegíveis view do usuário.

  • securable

  • principal

eventos SSH

Os seguintes eventos ssh são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

ssh

login

Login do agente SSH no driver Spark.

  • containerId

  • userName

  • port

  • publicKey

  • instanceId

ssh

logout

Logout do agente do SSH do driver Spark.

  • userName

  • containerId

  • instanceId

eventos de terminal da web

Os seguintes eventos webTerminal são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

webTerminal

startSession

O usuário inicia sessões de terminal web.

  • socketGUID

  • clusterId

  • serverPort

  • ProxyTargetURI

webTerminal

closeSession

O usuário fecha uma sessão de terminal web.

  • socketGUID

  • clusterId

  • serverPort

  • ProxyTargetURI

Eventos do espaço de trabalho

Os seguintes eventos workspace são logs no nível do workspace .

Serviço

Nome da ação

Descrição

Solicitar parâmetros

workspace

changeWorkspaceAcl

As permissões para o workspace são alteradas.

  • shardName

  • targetUserId

  • aclPermissionSet

  • resourceId

workspace

deleteSetting

Uma configuração é excluída do workspace.

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

workspace

fileCreate

O usuário cria um arquivo no workspace.

  • path

workspace

fileDelete

O usuário exclui um arquivo no workspace.

  • path

workspace

fileEditorOpenEvent

O usuário abre o editor de arquivos.

  • notebookId

  • path

workspace

getRoleAssignment

O usuário obtém as funções de usuário de um workspace.

  • account_id

  • workspace_id

workspace

mintOAuthAuthorizationCode

Registrado quando o código de autorização OAuth interno é criado no nível do workspace .

  • client_id

workspace

mintOAuthToken

tokens OAuth são criados para workspace.

  • grant_type

  • scope

  • expires_in

  • client_id

workspace

moveWorkspaceNode

Um administrador workspace move o nó workspace .

  • destinationPath

  • path

workspace

purgeWorkspaceNodes

Um administrador workspace limpa os nós workspace .

  • treestoreId

workspace

reattachHomeFolder

Um pasta home existente é reanexado para um usuário que é adicionado novamente ao workspace.

  • path

workspace

renameWorkspaceNode

Um administrador workspace renomeia os nós workspace .

  • path

  • destinationPath

workspace

unmarkHomeFolder

Os atributos especiais do pasta home são removidos quando um usuário é removido do workspace.

  • path

workspace

updateRoleAssignment

Um administrador do workspace atualiza a função de um usuário do workspace.

  • account_id

  • workspace_id

  • principal_id

workspace

setSetting

Um administrador workspace define uma configuração workspace .

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

workspace

workspaceConfEdit

O administrador do workspace faz atualizações em uma configuração, por exemplo, habilitando logs de auditoria detalhados.

  • workspaceConfKeys

  • workspaceConfValues

workspace

workspaceExport

O usuário exporta um Notebook de um workspace.

  • workspaceExportDirectDownload

  • workspaceExportFormat

  • notebookFullPath

workspace

workspaceInHouseOAuthClientAuthentication

O cliente OAuth é autenticado no serviço de workspace .

  • user

Eventos de uso faturáveis

Os seguintes eventos accountBillableUsage são logs no nível da account .

Serviço

Ação

Descrição

Solicitar parâmetros

accountBillableUsage

getAggregatedUsage

O usuário acessou o uso faturável agregado (uso por dia) da account por meio do recurso Uso gráfico.

  • account_id

  • window_size

  • start_time

  • end_time

  • meter_name

  • workspace_ids_filter

accountBillableUsage

getDetailedUsage

O usuário acessou o uso faturável detalhado (uso para cada clusters) da account por meio do recurso downloads de uso.

  • account_id

  • start_month

  • end_month

  • with_pii

Eventos de conta no nível da conta

Os seguintes eventos accounts são logs no nível da account .

Serviço

Ação

Descrição

Solicitar parâmetros

accounts

accountInHouseOAuthClientAuthentication

Um cliente OAuth é autenticado.

  • endpoint

accounts

accountIpAclsValidationFailed

A validação das permissões de IP falha. Retorna statusCode 403.

  • sourceIpAddress

  • user: logs como um endereço email

accounts

activateUser

Um usuário é reativado após ser desativado. Consulte Desativar usuários na account.

  • targetUserName

  • endpoint

  • targetUserId

accounts

add

Um usuário é adicionado à account do Databricks.

  • targetUserName

  • endpoint

  • targetUserId

accounts

addPrincipalToGroup

Um usuário é adicionado a um grupo no nível account .

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

addPrincipalsToGroup

Os usuários são adicionados a um grupo no nível accountusando o provisionamento SCIM.

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

createGroup

Um grupo no nível accounté criado.

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

deactivateUser

Um usuário está desativado. Consulte Desativar usuários na account.

  • targetUserName

  • endpoint

  • targetUserId

accounts

delete

Um usuário é excluído da account do Databricks.

  • targetUserId

  • targetUserName

  • endpoint

accounts

deleteSetting

o administrador account remove uma configuração da account do Databricks.

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

accounts

garbageCollectDbToken

Um usuário executa um comando de coleta de lixo em tokens expirados.

  • tokenExpirationTime

  • tokenClientId

  • userId

  • tokenCreationTime

  • tokenFirstAccessed

accounts

generateDbToken

O usuário gera tokens nas Configurações do usuário ou quando o serviço gera os tokens.

  • tokenExpirationTime

  • tokenCreatedBy

  • tokenHash

  • userId

accounts

login

Um usuário logs no console account .

  • user

accounts

logout

Um usuário logs logout do console account .

  • user

accounts

mintOAuthAuthorizationCode

Registrado quando o código de autorização OAuth interno é emitido no nível account .

  • client_id

accounts

mintOAuthToken

accountUm OAuth tokens no nível é emitido para a entidade de serviço.

  • user

accounts

oidcBrowserLogin

Um usuário logs em sua account com o fluxo de trabalho do navegador OpenID Connect.

  • user

accounts

oidcTokenAuthorization

Um tokens OIDC é autenticado para um login de administrador account .

  • user

accounts

passwordVerifyAuthentication

A senha de um usuário é verificada durante o login no console account .

  • user

accounts

removeAccountAdmin

Um administrador account remove permissões de administrador account de outro usuário.

  • targetUserName

  • endpoint

  • targetUserId

accounts

removeGroup

Um grupo é removido da account.

  • targetGroupId

  • targetGroupName

  • endpoint

accounts

removePrincipalFromGroup

Um usuário é removido de um grupo no nível account .

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

removePrincipalsFromGroup

Os usuários são removidos de um grupo no nível accountusando o provisionamento SCIM.

  • targetGroupId

  • endpoint

  • targetUserId

  • targetGroupName

  • targetUserName

accounts

setAccountAdmin

Um administrador account atribui a função de administrador account a outro usuário.

  • targetUserName

  • endpoint

  • targetUserId

accounts

setSetting

Um administrador account atualiza uma configuração no nível account .

  • settingKeyTypeName

  • settingKeyName

  • settingTypeName

  • settingName

  • settingValueForAudit

accounts

tokenLogin

Um usuário logs no Databricks usando tokens.

  • tokenId

  • user

accounts

updateUser

Um administrador account atualiza uma account de usuário.

  • targetUserName

  • endpoint

  • targetUserId

accounts

updateGroup

Um administrador account atualiza um grupo em nível de account .

  • endpoint

  • targetGroupId

  • targetGroupName

accounts

validateEmail

Quando um usuário valida seu email após a criação account .

  • endpoint

  • targetUserName

  • targetUserId

Eventos de controle de acesso no nível da conta

O seguinte evento accountsAccessControl é logs no nível account .

Serviço

Ação

Descrição

Solicitar parâmetros

accountsAccessControl

updateRuleSet

Quando um conjunto de regras é alterado.

  • account_id

  • name

  • rule_set

Eventos de gerenciamento de conta

Os seguintes eventos accountsManager são logs no nível da account . Esses eventos têm a ver com as configurações feitas pelos administradores account no console account .

Serviço

Ação

Descrição

Solicitar parâmetros

accountsManager

acceptTos

O administrador aceita os termos de serviço de um workspace.

  • workspace_id

accountsManager

accountUserResetPassword

account admin Reset a senha de um usuário. Também logs se o usuário alterou a senha após Reset.

  • wasPasswordChanged

  • serviceSource

  • targetUserId

  • userId

  • newPasswordSource

accountsManager

changeAccountOwner

a função de proprietário account é transferida para outro administrador account .

  • account_id

  • first_name

  • last_name

  • email

accountsManager

consolidateAccounts

A account foi consolidada com outra account da Databricks.

  • target_account_id

  • account_ids_to_consolidate

accountsManager

createCredentialsConfiguration

o administrador account criou uma configuração de credenciais.

  • credentials

accountsManager

createCustomerManagedKeyConfiguration

o administrador account criou uma configuração key gerenciada pelo cliente.

  • customer_managed_key

accountsManager

createNetworkConfiguration

o administrador account criou uma configuração de rede.

  • network

accountsManager

createPrivateAccessSettings

o administrador account criou uma configuração de configurações de acesso privado.

  • private_access_settings

accountsManager

createStorageConfiguration

o administrador account criou uma configuração de armazenamento.

  • storage_configuration

accountsManager

createVpcEndpoint

o administrador account criou uma configuração de endpoint VPC.

  • vpc_endpoint

accountsManager

createWorkspaceConfiguration

o administrador account cria um novo workspace. O parâmetro de solicitação workspace é uma matriz de informações de implantação, incluindo workspace_name. Você pode encontrar o workspace_id no parâmetro response.result .

  • workspace

accountsManager

deleteCredentialsConfiguration

o administrador account excluiu uma configuração de credenciais.

  • account_id

  • credentials_id

accountsManager

deleteCustomerManagedKeyConfiguration

o administrador account excluiu uma configuração key gerenciada pelo cliente.

  • account_id

  • customer_managed_key_id

accountsManager

deleteNetworkConfiguration

o administrador account excluiu uma configuração de rede.

  • account_id

  • network_id

accountsManager

deletePrivateAccessSettings

o administrador account excluiu uma configuração de configurações de acesso privado.

  • account_id

  • private_access_settings_id

accountsManager

deleteStorageConfiguration

o administrador account excluiu uma configuração de armazenamento.

  • account_id

  • storage_configuration_id

accountsManager

deleteVpcEndpoint

o administrador account excluiu uma configuração do VPC endpoint.

  • account_id

  • vpc_endpoint_id

accountsManager

deleteWorkspaceConfiguration

o administrador account excluiu um workspace.

  • account_id

  • workspace_id

accountsManager

getCredentialsConfiguration

o administrador account solicita detalhes sobre uma configuração de credenciais.

  • account_id

  • credentials_id

accountsManager

getCustomerManagedKeyConfiguration

o administrador account solicita detalhes sobre uma configuração key gerenciada pelo cliente.

  • account_id

  • customer_managed_key_id

accountsManager

getNetworkConfiguration

o administrador account solicita detalhes sobre uma configuração de rede.

  • account_id

  • network_id

accountsManager

getPrivateAccessSettings

o administrador account solicita detalhes sobre uma configuração de configurações de acesso privado.

  • account_id

  • private_access_settings_id

accountsManager

getStorageConfiguration

o administrador account solicita detalhes sobre uma configuração de armazenamento.

  • account_id

  • storage_configuration_id

accountsManager

getVpcEndpoint

o administrador account solicita detalhes sobre uma configuração de VPC endpoint.

  • account_id

  • vpc_endpoint_id

accountsManager

getWorkspaceConfiguration

o administrador account solicita detalhes sobre um workspace.

  • account_id

  • workspace_id

accountsManager

listCredentialsConfigurations

account admin lista todas as configurações de credenciais na account.

  • account_id

accountsManager

listCustomerManagedKeyConfigurations

o administrador account lista todas as configurações key gerenciadas pelo cliente na account.

  • account_id

accountsManager

listNetworkConfigurations

account admin lista todas as configurações de rede na account.

  • account_id

accountsManager

listPrivateAccessSettings

O administrador account lista todas as configurações de acesso privado na account.

  • account_id

accountsManager

listStorageConfigurations

o administrador account lista todas as configurações de armazenamento na account.

  • account_id

accountsManager

listSubscriptions

administrador account lista todas as inscrições de faturamento account .

  • account_id

accountsManager

listVpcEndpoints

O administrador account listou todas as configurações do VPC endpoint da account.

  • account_id

accountsManager

listWorkspaceConfigurations

o administrador account lista todos os workspace da account.

  • account_id

accountsManager

listWorkspaceEncryptionKeyRecords

o administrador account lista todos os registros key de criptografia em um workspace específico.

  • account_id

  • workspace_id

accountsManager

listWorkspaceEncryptionKeyRecordsForAccount

o administrador account lista todos os registros key de criptografia na account.

  • account_id

accountsManager

sendTos

Um email foi enviado a um administrador workspace para aceitar os Termos de serviço do Databricks.

  • account_id

  • workspace_id

accountsManager

updateAccount

Os detalhes account foram alterados internamente.

  • account_id

  • account

accountsManager

updateSubscription

As inscrições de faturamento account foram atualizadas.

  • account_id

  • subscription_id

  • subscription

accountsManager

updateWorkspaceConfiguration

O administrador atualizou a configuração de um workspace.

  • account_id

  • workspace_id

logs eventos de entrega

Os seguintes eventos logDelivery são logs no nível da account .

Serviço

Ação

Descrição

Solicitar parâmetros

logDelivery

createLogDeliveryConfiguration

O administrador criou uma configuração de entrega logs .

  • account_id

  • config_id

logDelivery

getLogDeliveryConfiguration

O administrador solicitou detalhes sobre uma configuração de entrega logs .

  • log_delivery_configuration

logDelivery

listLogDeliveryConfigurations

O administrador listou todas as configurações de entrega de logs na account.

  • account_id

  • storage_configuration_id

  • credentials_id

  • status

logDelivery

updateLogDeliveryConfiguration

O administrador atualizou uma configuração de entrega logs .

  • config_id

  • account_id

  • status

Eventos SSO Oauth

Os eventos oauth2 a seguir são logs no nível account e estão relacionados à autenticação OAuth SSO no console account .

Serviço

Ação

Descrição

Solicitar parâmetros

oauth2

createCustomAppIntegration

Um administrador workspace cria integração personalizada de aplicativos.

  • redirect_url

  • name

  • token_access_policy

  • confidential

oauth2

createPublishedAppIntegration

Um administrador do workspace cria uma integração de aplicativos usando uma integração de aplicativos publicada.

  • app_id

oauth2

deleteCustomAppIntegration

Um administrador do workspace exclui a integração de aplicativos personalizados.

  • integration_id

oauth2

deletePublishedAppIntegration

Um administrador do workspace exclui a integração de aplicativos publicados.

  • integration_id

oauth2

enrollOAuth

Um administrador workspace inscreve account no OAuth.

  • enable_all_published_apps

oauth2

updateCustomAppIntegration

Um administrador workspace atualiza a integração de aplicativos personalizados.

  • redirect_url

  • name

  • token_access_policy

  • confidential

oauth2

updatePublishedAppIntegration

Um administrador workspace atualiza a integração de aplicativos publicados.

  • token_access_policy

Eventos de credenciais da entidade de serviço (visualização pública)

Os seguintes eventos servicePrincipalCredentials são logs no nível da account .

Serviço

Ação

Descrição

Solicitar parâmetros

servicePrincipalCredentials

create

o administrador account gera um segredo OAuth para a entidade de serviço.

  • account_id

  • service_principal

  • secret_id

servicePrincipalCredentials

list

o administrador account lista todos os segredos do OAuth em uma entidade de serviço.

  • account_id

  • service_principal

servicePrincipalCredentials

delete

o administrador account exclui o segredo OAuth de uma entidade de serviço.

  • account_id

  • service_principal

  • secret_id

Eventos de logon único

Os seguintes eventos ssoConfigBackend são logs no nível account e estão relacionados à autenticação SSO para o console account .

Serviço

Ação

Descrição

Solicitar parâmetros

ssoConfigBackend

create

o administrador account criou uma configuração de SSO do console account .

  • account_id

  • sso_type

  • config

ssoConfigBackend

get

o administrador account solicitou detalhes sobre uma configuração de SSO do console account .

  • account_id

  • sso_type

ssoConfigBackend

update

o administrador account atualizou uma configuração de SSO do console account .

  • account_id

  • sso_type

  • config

Eventos Unity Catalog

Os seguintes eventos de auditoria estão relacionados ao Unity Catalog. Os eventos do Delta Sharing também são registros no serviço unityCatalog. Para eventos Delta Sharing, consulte eventosDelta Sharing . Os eventos de auditoria do Unity Catalog podem ser registrados no nível workspace ou no nível account, dependendo do evento.

Serviço

Ação

Descrição

Solicitar parâmetros

unityCatalog

createMetastore

o administrador account cria um metastore.

  • name

  • storage_root

  • workspace_id

  • metastore_id

unityCatalog

getMetastore

o administrador account solicita o ID do metastore.

  • id

  • workspace_id

  • metastore_id

unityCatalog

getMetastoreSummary

o administrador account solicita detalhes sobre um metastore.

  • workspace_id

  • metastore_id

unityCatalog

listMetastores

o administrador account solicita uma lista de todos os meta-lojas em uma account.

  • workspace_id

unityCatalog

updateMetastore

o administrador account faz uma atualização em um metastore.

  • id

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteMetastore

o administrador account exclui um metastore.

  • id

  • force

  • workspace_id

  • metastore_id

unityCatalog

updateMetastoreAssignment

o administrador account faz uma atualização na atribuição workspace de um metastore.

  • workspace_id

  • metastore_id

  • default_catalog_name

unityCatalog

createExternalLocation

o administrador account cria um local externo.

  • name

  • skip_validation

  • url

  • credential_name

  • workspace_id

  • metastore_id

unityCatalog

getExternalLocation

o administrador account solicita detalhes sobre um local externo.

  • name_arg

  • include_browse

  • workspace_id

  • metastore_id

unityCatalog

listExternalLocations

lista de solicitações do administrador account de todos os locais externos em uma account.

  • url

  • max_results

  • workspace_id

  • metastore_id

unityCatalog

updateExternalLocation

o administrador account faz uma atualização para um local externo.

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteExternalLocation

o administrador account exclui um local externo.

  • name_arg

  • force

  • workspace_id

  • metastore_id

unityCatalog

createCatalog

O usuário cria um catálogo.

  • name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteCatalog

O usuário exclui um catálogo.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

getCatalog

O usuário solicita detalhes sobre um catálogo.

  • name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

updateCatalog

O usuário atualiza um catálogo.

  • name_arg

  • isolation_mode

  • comment

  • workspace_id

  • metastore_id

unityCatalog

listCatalog

O usuário faz uma chamada para listar todos os catálogos no metastore.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

createSchema

O usuário cria um esquema.

  • name

  • catalog_name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteSchema

O usuário exclui um esquema.

  • full_name_arg

  • force

  • workspace_id

  • metastore_id

unityCatalog

getSchema

O usuário solicita detalhes sobre um esquema.

  • full_name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

listSchema

O usuário solicita uma lista de todos os esquemas em um catálogo.

  • catalog_name

unityCatalog

updateSchema

O usuário atualiza um esquema.

  • full_name_arg

  • name

  • workspace_id

  • metastore_id

  • comment

unityCatalog

createStagingTable

  • name

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

unityCatalog

createTable

O usuário cria uma tabela. Os parâmetros de solicitação diferem dependendo do tipo de tabela criada.

  • name

  • data_source_format

  • catalog_name

  • schema_name

  • storage_location

  • columns

  • dry_run

  • table_type

  • view_dependencies

  • view_definition

  • sql_path

  • comment

unityCatalog

deleteTable

O usuário exclui uma tabela.

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

getTable

O usuário solicita detalhes sobre uma tabela.

  • include_delta_metadata

  • full_name_arg

  • dependent

  • workspace_id

  • metastore_id

unityCatalog

privilegedGetTable

  • full_name_arg

unityCatalog

listTables

O usuário faz uma chamada para listar todas as tabelas em um esquema.

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

  • include_browse

unityCatalog

listTableSummaries

O usuário obtém uma matriz de resumos de tabelas para um esquema e catálogo dentro do metastore.

  • catalog_name

  • schema_name_pattern

  • workspace_id

  • metastore_id

unityCatalog

updateTables

O usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam dependendo do tipo de atualização de tabela feita.

  • full_name_arg

  • table_type

  • table_constraint_list

  • data_source_format

  • columns

  • dependent

  • row_filter

  • storage_location

  • sql_path

  • view_definition

  • view_dependencies

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

createStorageCredential

o administrador account cria uma credencial de armazenamento. Você pode ver um parâmetro de solicitação adicional com base nas credenciais do seu provedor cloud .

  • name

  • comment

  • workspace_id

  • metastore_id

unityCatalog

listStorageCredentials

o administrador account faz uma chamada para listar todas as credenciais de armazenamento na account.

  • workspace_id

  • metastore_id

unityCatalog

getStorageCredential

o administrador account solicita detalhes sobre uma credencial de armazenamento.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateStorageCredential

o administrador account faz uma atualização em uma credencial de armazenamento.

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

deleteStorageCredential

o administrador account exclui uma credencial de armazenamento.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryTableCredential

logs sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem query o quê e quando.

  • credential_id

  • credential_type

  • is_permissions_enforcing_client

  • table_full_name

  • operation

  • table_id

  • workspace_id

  • table_url

  • metastore_id

unityCatalog

generateTemporaryPathCredential

logs sempre que uma credencial temporária é concedida para um caminho.

  • url

  • operation

  • make_path_only_parent

  • workspace_id

  • metastore_id

unityCatalog

getPermissions

O usuário faz uma chamada para obter detalhes de permissão para um objeto protegido. Esta chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente.

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

getEffectivePermissions

O usuário faz uma chamada para obter todos os detalhes de permissão de um objeto protegido. Uma chamada de permissões efetiva retorna permissões atribuídas explicitamente e herdadas.

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

updatePermissions

O usuário atualiza permissões em um objeto protegível.

  • securable_type

  • changes

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

metadataSnapshot

O usuário query os metadados de uma versão anterior da tabela.

  • securables

  • include_delta_metadata

  • workspace_id

  • metastore_id

unityCatalog

metadataAndPermissionsSnapshot

O usuário query os metadados e as permissões de uma versão anterior da tabela.

  • securables

  • include_delta_metadata

  • workspace_id

  • metastore_id

unityCatalog

updateMetadataSnapshot

O usuário atualiza os metadados de uma versão anterior da tabela.

  • table_list_snapshots

  • schema_list_snapshots

  • workspace_id

  • metastore_id

unityCatalog

getForeignCredentials

O usuário faz uma chamada para obter detalhes sobre uma key estrangeira.

  • securables

  • workspace_id

  • metastore_id

unityCatalog

getInformationSchema

O usuário faz uma chamada para obter detalhes sobre um esquema.

  • table_name

  • page_token

  • required_column_names

  • row_set_type

  • required_column_names

  • workspace_id

  • metastore_id

unityCatalog

createConstraint

O usuário cria uma restrição para uma tabela.

  • full_name_arg

  • constraint

  • workspace_id

  • metastore_id

unityCatalog

deleteConstraint

O usuário exclui uma restrição de uma tabela.

  • full_name_arg

  • constraint

  • workspace_id

  • metastore_id

unityCatalog

createPipeline

O usuário cria um pipeline do Unity Catalog.

  • target_catalog_name

  • has_workspace_definition

  • id

  • workspace_id

  • metastore_id

unityCatalog

updatePipeline

O usuário atualiza um pipeline do Unity Catalog.

  • id_arg

  • definition_json

  • id

  • workspace_id

  • metastore_id

unityCatalog

getPipeline

O usuário solicita detalhes sobre um pipeline do Unity Catalog.

  • id

  • workspace_id

  • metastore_id

unityCatalog

deletePipeline

O usuário exclui um pipeline do Unity Catalog.

  • id

  • workspace_id

  • metastore_id

unityCatalog

deleteResourceFailure

Falha ao excluir o recurso

nenhum

unityCatalog

createVolume

O usuário cria um volume do Unity Catalog.

  • name

  • catalog_name

  • schema_name

  • volume_type

  • storage_location

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

getVolume

O usuário faz uma chamada para obter informações sobre um volume do Catálogo do Unity.

  • volume_full_name

  • workspace_id

  • metastore_id

unityCatalog

updateVolume

O usuário atualiza os metadados de um volume do Unity Catalog com as chamadas ALTER VOLUME ou COMMENT ON .

  • volume_full_name

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteVolume

O usuário exclui um volume do Unity Catalog.

  • volume_full_name

  • workspace_id

  • metastore_id

unityCatalog

listVolumes

O usuário faz uma chamada para obter uma lista de todos os volumes do Unity Catalog em um esquema.

  • catalog_name

  • schema_name

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryVolumeCredential

Uma credencial temporária é gerada quando um usuário executa uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando.

  • volume_id

  • volume_full_name

  • operation

  • volume_storage_location

  • credential_id

  • credential_type

  • workspace_id

  • metastore_id

unityCatalog

getTagSecurableAssignments

As atribuições de tags para um protegível são buscadas

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

unityCatalog

getTagSubentityAssignments

As atribuições de tags para uma subentidade são buscadas

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • subentity_name

unityCatalog

UpdateTagSecurableAssignments

As atribuições de tags para um protegível são atualizadas

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • changes

unityCatalog

UpdateTagSubentityAssignments

As atribuições de tags para uma subentidade são atualizadas

  • securable_type

  • securable_full_name

  • workspace_id

  • metastore_id

  • subentity_name

  • changes

unityCatalog

createRegisteredModel

O usuário cria um modelo registrado no Unity Catalog.

  • name

  • catalog_name

  • schema_name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

getRegisteredModel

O usuário faz uma chamada para obter informações sobre um modelo registrado no Unity Catalog.

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateRegisteredModel

O usuário atualiza os metadados de um modelo registrado no Unity Catalog.

  • full_name_arg

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteRegisteredModel

O usuário exclui um modelo registrado no Unity Catalog.

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

listRegisteredModels

O usuário faz uma chamada para obter uma lista de modelos registrados no Unity Catalog em um esquema ou listar modelos em catálogos e esquemas.

  • catalog_name

  • schema_name

  • max_results

  • page_token

  • workspace_id

  • metastore_id

unityCatalog

createModelVersion

O usuário cria uma versão do modelo no Unity Catalog.

  • catalog_name

  • schema_name

  • model_name

  • source

  • comment

  • workspace_id

  • metastore_id

unityCatalog

finalizeModelVersion

O usuário faz uma chamada para “finalizar” uma versão do modelo do Unity Catalog após fazer upload dos arquivos da versão do modelo para seu local de armazenamento, tornando-o somente leitura e utilizável no fluxo de trabalho de inferência.

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

getModelVersion

O usuário faz uma chamada para obter detalhes sobre uma versão do modelo.

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

getModelVersionByAlias

O usuário faz uma chamada para obter detalhes sobre uma versão do modelo usando o alias.

  • full_name_arg

  • include_aliases

  • alias_arg

  • workspace_id

  • metastore_id

unityCatalog

updateModelVersion

O usuário atualiza os metadados de uma versão do modelo.

  • full_name_arg

  • version_arg

  • name

  • owner

  • comment

  • workspace_id

  • metastore_id

unityCatalog

deleteModelVersion

O usuário exclui uma versão do modelo.

  • full_name_arg

  • version_arg

  • workspace_id

  • metastore_id

unityCatalog

listModelVersions

O usuário faz uma chamada para obter uma lista de versões de modelo do Unity Catalog em um modelo registrado.

  • catalog_name

  • schema_name

  • model_name

  • max_results

  • page_token

  • workspace_id

  • metastore_id

unityCatalog

generateTemporaryModelVersionCredential

Uma credencial temporária é gerada quando um usuário executa uma gravação (durante a criação da versão inicial do modelo) ou leitura (após a finalização da versão do modelo) em uma versão do modelo. Você pode usar esse evento para determinar quem acessou uma versão de modelo e quando.

  • full_name_arg

  • version_arg

  • operation

  • model_version_url

  • credential_id

  • credential_type

  • workspace_id

  • metastore_id

unityCatalog

setRegisteredModelAlias

O usuário define um alias em um modelo registrado no Unity Catalog.

  • full_name_arg

  • alias_arg

  • version

unityCatalog

deleteRegisteredModelAlias

O usuário exclui um alias em um modelo registrado no Unity Catalog.

  • full_name_arg

  • alias_arg

unityCatalog

getModelVersionByAlias

O usuário obtém uma versão do modelo do Unity Catalog por alias.

  • full_name_arg

  • alias_arg

unityCatalog

createConnection

Uma nova conexão externa é criada.

  • name

  • connection_type

  • workspace_id

  • metastore_id

unityCatalog

deleteConnection

Uma conexão externa é excluída.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

getConnection

Uma conexão externa é recuperada.

  • name_arg

  • workspace_id

  • metastore_id

unityCatalog

updateConnection

Uma conexão externa é atualizada.

  • name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

listConnections

As conexões estrangeiras em um metastore são listadas.

  • workspace_id

  • metastore_id

unityCatalog

createFunction

O usuário cria uma nova função.

  • function_info

  • workspace_id

  • metastore_id

unityCatalog

updateFunction

O usuário atualiza uma função.

  • full_name_arg

  • owner

  • workspace_id

  • metastore_id

unityCatalog

listFunctions

O usuário solicita uma lista de todas as funções em um catálogo ou esquema pai específico.

  • catalog_name

  • schema_name

  • include_browse

  • workspace_id

  • metastore_id

unityCatalog

getFunction

O usuário solicita uma função de um catálogo ou esquema pai.

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

deleteFunction

O usuário solicita uma função de um catálogo ou esquema pai.

  • full_name_arg

  • workspace_id

  • metastore_id

unityCatalog

createShareMarketplaceListingLink

  • links_infos

  • metastore_id

unityCatalog

deleteShareMarketplaceListingLink

  • links_infos

  • metastore_id

Eventos de compartilhamento Delta

Os eventos do Delta Sharing são divididos em duas seções: eventos registrados no site account do provedor de dados e eventos registrados no site account do destinatário dos dados.

Eventos do provedor Delta Sharing

Os seguintes eventos de logs de auditoria são registrados no site do provedor account. As ações executadas pelos destinatários começam com o prefixo deltaSharing. Cada um desses logs também inclui request_params.metastore_id, que é o metastore que gerencia os dados compartilhados, e userIdentity.email, que é o ID do usuário que iniciou a atividade.

Serviço

Ação

Descrição

Solicitar parâmetros

unityCatalog

deltaSharingListShares

Um destinatário de dados solicita uma lista de compartilhamentos.

  • options: As opções de paginação fornecidas com essa solicitação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingGetShare

Um destinatário de dados solicita detalhes sobre um compartilhamento.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListSchemas

Um destinatário de dados solicita uma lista de esquemas compartilhados.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • options: As opções de paginação fornecidas com essa solicitação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListAllTables

Um destinatário de dados solicita uma lista de todas as tabelas compartilhadas.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListTables

Um destinatário de dados solicita uma lista de tabelas compartilhadas.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • options: As opções de paginação fornecidas com essa solicitação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingGetTableMetadata

Um destinatário de dados solicita detalhes sobre os metadados de uma tabela.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • schema: O nome do esquema.

  • name: O nome da tabela.

  • predicateHints: Os predicados incluídos na consulta.

  • limitHints: O número máximo de linhas a serem retornadas.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingGetTableVersion

Um destinatário de dados solicita detalhes sobre uma versão de tabela.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • schema: O nome do esquema.

  • name: O nome da tabela.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingQueryTable

registra quando um destinatário de dados consulta uma tabela compartilhada.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • schema: O nome do esquema.

  • name: O nome da tabela.

  • predicateHints: Os predicados incluídos na consulta.

  • limitHints: O número máximo de linhas a serem retornadas.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingQueryTableChanges

registra em log quando um destinatário de dados consulta os dados de alteração de uma tabela.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • schema: O nome do esquema.

  • name: O nome da tabela.

  • cdf_options: Alterar as opções de feed de dados.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingQueriedTable

registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados)

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingQueriedTableChanges

registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados).

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListNotebookFiles

Um destinatário de dados solicita uma lista de arquivos Notebook compartilhados.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingQueryNotebookFile

Um destinatário de dados consulta um arquivo Notebook compartilhado.

  • file_name: O nome do arquivo Notebook.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListFunctions

Um destinatário de dados solicita uma lista de funções em um esquema pai.

  • share: O nome da ação.

  • schema: O nome do esquema pai da função.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListAllFunctions

Um destinatário de dados solicita uma lista de todas as funções compartilhadas.

  • share: O nome da ação.

  • schema: O nome do esquema pai da função.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListFunctionVersions

Um destinatário de dados solicita uma lista de versões de funções.

  • share: O nome da ação.

  • schema: O nome do esquema pai da função.

  • function: O nome da função.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListVolumes

Um destinatário de dados solicita uma lista de volumes compartilhados em um esquema.

  • share: O nome da ação.

  • schema: O esquema de pais dos volumes.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

deltaSharingListAllVolumes

Um destinatário de dados solicita todos os volumes compartilhados.

  • share: O nome da ação.

  • recipient_name: Indica o destinatário que está executando a ação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

updateMetastore

O provedor atualiza seu metastore.

  • delta_sharing_scope: Os valores podem ser INTERNAL ou INTERNAL_AND_EXTERNAL.

  • delta_sharing_recipient_token_lifetime_in_seconds: Se presente, indica que o tempo de vida dos tokens do destinatário foi atualizado.

unityCatalog

createRecipient

O provedor cria um destinatário de dados.

  • name: O nome do destinatário.

  • comment: O comentário para o destinatário.

  • ip_access_list.allowed_ip_addresses: Lista de permissões do endereço IP do destinatário.

unityCatalog

deleteRecipient

O provedor exclui um destinatário de dados.

  • name: O nome do destinatário.

unityCatalog

getRecipient

O provedor solicita detalhes sobre um destinatário de dados.

  • name: O nome do destinatário.

unityCatalog

listRecipients

O provedor solicita uma lista de todos os seus destinatários de dados.

nenhum

unityCatalog

rotateRecipientToken

O provedor gira os tokens de um destinatário.

  • name: O nome do destinatário.

  • comment: O comentário fornecido no comando de rotação.

unityCatalog

updateRecipient

O provedor atualiza os atributos de um destinatário de dados.

  • name: O nome do destinatário.

  • updates: Uma representação JSON dos atributos do destinatário que foram adicionados ou removidos do compartilhamento.

unityCatalog

createShare

O provedor atualiza os atributos de um destinatário de dados.

  • name: O nome da ação.

  • comment: O comentário para o compartilhamento.

unityCatalog

deleteShare

O provedor atualiza os atributos de um destinatário de dados.

  • name: O nome da ação.

unityCatalog

getShare

O provedor solicita detalhes sobre uma ação.

  • name: O nome da ação.

  • include_shared_objects: Se os nomes das tabelas do compartilhamento foram incluídos na solicitação.

unityCatalog

updateShare

O provedor adiciona ou remove dados ativos de um compartilhamento.

  • name: O nome da ação.

  • updates: Uma representação JSON dos dados ativos que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover), name (o nome real da tabela), shared_as (o nome com o qual o ativo foi compartilhado, se diferente do nome real) e partition_specification (se uma especificação de partição foi fornecida).

unityCatalog

listShares

O provedor solicita uma lista de suas ações.

nenhum

unityCatalog

getSharePermissions

O provedor solicita detalhes sobre as permissões de um compartilhamento.

  • name: O nome da ação.

unityCatalog

updateSharePermissions

O provedor atualiza as permissões de um compartilhamento.

  • name: O nome da ação.

  • changes: Uma representação JSON das permissões atualizadas. Cada alteração inclui principal (o usuário ou grupo ao qual a permissão é concedida ou revogada), add (a lista de permissões que foram concedidas) e remove (a lista de permissões que foram revogadas).

unityCatalog

getRecipientSharePermissions

O provedor solicita detalhes sobre as permissões de compartilhamento de um destinatário.

  • name: O nome da ação.

unityCatalog

getActivationUrlInfo

O provedor solicita detalhes sobre a atividade em seu link de ativação.

  • recipient_name: O nome do destinatário que abriu a URL de ativação.

  • is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.

unityCatalog

generateTemporaryVolumeCredential

É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado.

  • share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação.

  • share_id: A ID do compartilhamento.

  • share_owner: O proprietário da ação.

  • recipient_name: O nome do destinatário que solicita a credencial.

  • recipient_id: A ID do destinatário.

  • volume_full_name: O nome completo de 3 níveis do volume.

  • volume_id: A ID do volume.

  • volume_storage_location: O caminho das nuvens da raiz do volume.

  • operation: Ou READ_VOLUME ou WRITE_VOLUME. Para o compartilhamento de volume, somente READ_VOLUME é suportado.

  • credential_id: A ID da credencial.

  • credential_type: O tipo da credencial. O valor é sempre StorageCredential.

  • workspace_id: O valor é sempre 0 quando a solicitação é para volumes compartilhados.

unityCatalog

generateTemporaryTableCredential

Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada.

  • share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação.

  • share_id: A ID do compartilhamento.

  • share_owner: O proprietário da ação.

  • recipient_name: O nome do destinatário que solicita a credencial.

  • recipient_id: A ID do destinatário.

  • table_full_name: O nome completo de 3 níveis da tabela.

  • table_id: A ID da tabela.

  • table_url: O caminho das nuvens da raiz da tabela.

  • operation: Ou READ ou READ_WRITE.

  • credential_id: A ID da credencial.

  • credential_type: O tipo da credencial. O valor é sempre StorageCredential.

  • workspace_id: O valor é sempre 0 quando a solicitação é para tabelas compartilhadas.

Eventos dos beneficiários do Delta Sharing

Os seguintes eventos são registrados no site account do destinatário dos dados. Esses eventos registram o acesso do destinatário a dados compartilhados e IA ativo, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:

  • recipient_name: O nome do destinatário no sistema do provedor de dados.

  • metastore_id: O nome do metastore no sistema do provedor de dados.

  • sourceIPAddress: O endereço IP de onde a solicitação foi originada.

Serviço

Ação

Descrição

Solicitar parâmetros

unityCatalog

deltaSharingProxyGetTableVersion

Um destinatário de dados solicita detalhes sobre uma versão de tabela compartilhada.

  • share: O nome da ação.

  • schema: O nome do esquema pai da tabela.

  • name: O nome da tabela.

unityCatalog

deltaSharingProxyGetTableMetadata

Um destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada.

  • share: O nome da ação.

  • schema: O nome do esquema pai da tabela.

  • name: O nome da tabela.

unityCatalog

deltaSharingProxyQueryTable

Um destinatário de dados consulta uma tabela compartilhada.

  • share: O nome da ação.

  • schema: O nome do esquema pai da tabela.

  • name: O nome da tabela.

  • limitHints: O número máximo de linhas a serem retornadas.

  • predicateHints: Os predicados incluídos na consulta.

  • version: Versão da tabela, se o feed de dados de alteração estiver ativado.

unityCatalog

deltaSharingProxyQueryTableChanges

Um destinatário de dados consulta os dados de alteração de uma tabela.

  • share: O nome da ação.

  • schema: O nome do esquema pai da tabela.

  • name: O nome da tabela.

  • cdf_options: Alterar as opções de feed de dados.

unityCatalog

createProvider

Um destinatário de dados cria um objeto de provedor.

  • name: O nome do provedor.

  • comment: O comentário para o provedor.

unityCatalog

updateProvider

Um destinatário de dados atualiza um objeto de provedor.

  • name: O nome do provedor.

  • updates: Uma representação JSON dos atributos do provedor que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover) e pode incluir name (o novo nome do provedor), owner (novo proprietário) e comment.

unityCatalog

deleteProvider

Um destinatário de dados exclui um objeto de provedor.

  • name: O nome do provedor.

unityCatalog

getProvider

Um destinatário de dados solicita detalhes sobre um objeto do provedor.

  • name: O nome do provedor.

unityCatalog

listProviders

Um destinatário de dados solicita uma lista de provedores.

nenhum

unityCatalog

activateProvider

Um destinatário de dados ativa um objeto de provedor.

  • name: O nome do provedor.

unityCatalog

listProviderShares

Um destinatário de dados solicita uma lista de ações de um provedor.

  • name: O nome do provedor.

unityCatalog

generateTemporaryVolumeCredential

É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado.

  • share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação.

  • volume_full_name: O nome completo de 3 níveis do volume.

  • volume_id: A ID do volume.

  • operation: Ou READ_VOLUME ou WRITE_VOLUME. Para o compartilhamento de volume, somente READ_VOLUME é suportado.

  • workspace_id: A ID do site workspace que recebe a solicitação do usuário.

unityCatalog

generateTemporaryTableCredential

Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada.

  • share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação.

  • table_full_name: O nome completo de 3 níveis da tabela.

  • table_id: A ID da tabela.

  • operation: Ou READ ou READ_WRITE.

  • workspace_id: A ID do site workspace que recebe a solicitação do usuário.

Eventos adicionais de monitoramento de segurança

Para recursos compute do Databricks no plano compute clássico, como VMs para clusters e SQL warehouse pro ou clássico, o recurso a seguir habilita agentes de monitoramento adicionais:

Para o serverless SQL warehouse, os agentes de monitoramento executam se o perfil de segurança compliance estiver ativado e a região suportar o serverless SQL warehouse com o perfil de segurança compliance .

Eventos de monitoramento de integridade de arquivos

Os seguintes eventos capsule8-alerts-dataplane são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

capsule8-alerts-dataplane

Heartbeat

Um evento regular para confirmar se o monitor está ligado. Atualmente execução a cada 10 minutos.

  • instanceId

capsule8-alerts-dataplane

Memory Marked Executable

A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.

  • instanceId

capsule8-alerts-dataplane

File Integrity Monitor

Monitora a integridade de arquivos importantes do sistema. alertar sobre quaisquer alterações não autorizadas nesses arquivos. Databricks define conjuntos específicos de caminhos do sistema na imagem, e este conjunto de caminhos pode mudar ao longo do tempo.

  • instanceId

capsule8-alerts-dataplane

Systemd Unit File Modified

Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta sempre que um arquivo de unidade systemd for modificado por um programa diferente de systemctl.

  • instanceId

capsule8-alerts-dataplane

Repeated Program Crashes

As falhas repetidas do programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. alerta quando mais de 5 instâncias de um programa individual travam por falha de segmentação.

  • instanceId

capsule8-alerts-dataplane

Userfaultfd Usage

Como os contêineres são normalmente cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. alerta quando um arquivo criado ou modificado em 30 minutos é executado em um contêiner.

  • instanceId

capsule8-alerts-dataplane

New File Executed in Container

A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.

  • instanceId

capsule8-alerts-dataplane

Suspicious Interactive Shell

shell interativo são ocorrências raras na infraestrutura de produção moderna. alerta quando um shell interativo é iniciado com argumentos comumente usados para shells reversos.

  • instanceId

capsule8-alerts-dataplane

User Command Logging Evasion

Evitar o registro de comandos é uma prática comum para invasores, mas também pode indicar que um usuário legítimo está executando ações não autorizadas ou tentando fugir da política. alerta quando uma alteração no registro do comando história do usuário é detectada, indicando que um usuário está tentando escapar do registro do comando.

  • instanceId

capsule8-alerts-dataplane

BPF Program Executed

Detecta alguns tipos de backdoors do kernel. O carregamento de um novo programa Berkeley Packet Filter (BPF) pode indicar que um invasor está carregando um rootkit baseado em BPF para ganhar persistência e evitar detecção. alerta quando um processo carrega um novo programa BPF privilegiado, caso o processo já faça parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Kernel Module Loaded

Os invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. alerta quando um módulo do kernel é carregado, se o programa já faz parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Suspicious Program Name Executed-Space After File

Os invasores podem criar ou renomear binários maliciosos para incluir um espaço no final do nome, em um esforço para se passar por um programa ou serviço legítimo do sistema. alerta quando um programa é executado com um espaço após o nome do programa.

  • instanceId

capsule8-alerts-dataplane

Illegal Elevation Of Privileges

As explorações de escalonamento de privilégios do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de root sem passar por portas padrão para alterações de privilégios. alerta quando um programa tenta elevar privilégios por meios incomuns. Isto pode emitir alertas falsos positivos em nós com cargas de trabalho significativas.

  • instanceId

capsule8-alerts-dataplane

Kernel Exploit

As funções internas do kernel não são acessíveis a programas regulares e, se chamadas, são um forte indicador de que uma exploração do kernel foi executada e que o invasor tem controle total do nó. alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário.

  • instanceId

capsule8-alerts-dataplane

Processor-Level Protections Disabled

SMEP e SMAP são proteções em nível de processador que aumentam a dificuldade de sucesso das explorações do kernel, e desabilitar essas restrições é uma etapa inicial comum nas explorações do kernel. alerta quando um programa altera a configuração SMEP/SMAP do kernel.

  • instanceId

capsule8-alerts-dataplane

Container Escape via Kernel Exploitation

alerta quando um programa usa funções de kernel comumente usadas em explorações de escape de contêineres, indicando que um invasor está escalando privilégios de acesso a contêineres para acesso a nós.

  • instanceId

capsule8-alerts-dataplane

Privileged Container Launched

Containers privilegiados têm acesso direto ao recurso do host, causando maior impacto quando comprometidos. alerta quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos.

  • instanceId

capsule8-alerts-dataplane

Userland Container Escape

Muitas fugas de contêiner forçam o host a executar um binário no contêiner, resultando no invasor ganhando controle total do nó afetado. alerta quando um arquivo criado em contêiner é executado de fora de um contêiner.

  • instanceId

capsule8-alerts-dataplane

AppArmor Disabled In Kernel

A modificação de determinados atributos do AppArmor só pode ocorrer no kernel, indicando que o AppArmor foi desativado por uma exploração ou rootkit do kernel. alerta quando o estado do AppArmor é alterado da configuração do AppArmor detectada quando o sensor é iniciado.

  • instanceId

capsule8-alerts-dataplane

AppArmor Profile Modified

Os invasores podem tentar desativar a aplicação de perfis do AppArmor como parte da evasão da detecção. alerta quando um comando para modificação de um perfil do AppArmor é executado, caso não tenha sido executado por um usuário em uma sessão SSH.

  • instanceId

capsule8-alerts-dataplane

Boot Files Modified

Se não for realizada por uma fonte confiável (como um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que um invasor modificou o kernel ou suas opções para obter acesso persistente a um host. alerta quando alterações são feitas nos arquivos em /boot, indicando a instalação de um novo kernel ou configuração de inicialização.

  • instanceId

capsule8-alerts-dataplane

Log Files Deleted

A exclusão de logs não realizada por uma ferramenta de gerenciamento de logs pode indicar que um invasor está tentando remover indicadores de comprometimento. alerta sobre exclusão de arquivos logs do sistema.

  • instanceId

capsule8-alerts-dataplane

New File Executed

Arquivos recém-criados de fontes diferentes de programas de atualização do sistema podem ser backdoors, explorações de kernel ou parte de uma cadeia de exploração. alerta quando um arquivo criado ou modificado em 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema.

  • instanceId

capsule8-alerts-dataplane

Root Certificate Store Modified

A modificação do armazenamento de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, permitindo a interceptação do tráfego de rede ou o desvio da verificação de assinatura de código. alerta quando um armazenamento de certificados de CA do sistema é alterado.

  • instanceId

capsule8-alerts-dataplane

Setuid/Setgid Bit Set On File

A configuração de setuid/setgid bits pode ser usada para fornecer um método persistente para escalonamento de privilégios em um nó. alerta quando o bit setuid ou setgid é definido em um arquivo com a família chmod de chamadas de sistema.

  • instanceId

capsule8-alerts-dataplane

Hidden File Created

Os invasores geralmente criam arquivos ocultos como forma de ocultar ferramentas e cargas em um host comprometido. alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Modification Of Common System Utilities

Os invasores podem modificar as utilidades do sistema para executar cargas maliciosas sempre que essas utilidades forem executadas. alerta quando um sistema russo comum é modificado por um processo não autorizado.

  • instanceId

capsule8-alerts-dataplane

Network Service Scanner Executed

Um invasor ou usuário não autorizado pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais a serem comprometidos. alerta quando ferramentas comuns de programas de varredura de rede são executadas.

  • instanceId

capsule8-alerts-dataplane

Network Service Created

Os invasores podem lançar um novo serviço de rede para fornecer acesso fácil a um host após comprometimento. alertar quando um programa iniciar um novo serviço de rede, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Network Sniffing Program Executed

Um invasor ou usuário não autorizado pode executar um comando de detecção de rede para capturar credenciais, informações de identificação pessoal (PII) ou outras informações confidenciais. alerta quando é executado um programa que permite captura de rede.

  • instanceId

capsule8-alerts-dataplane

Remote File Copy Detected

O uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Unusual Outbound Connection Detected

Os mineradores de canais de comando e controle e criptomoedas geralmente criam novas conexões de rede de saída em portas incomuns. alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Data Archived Via Program

Depois de obter acesso a um sistema, um invasor pode criar um arquivo compactado de arquivos para reduzir o tamanho dos dados para exfiltração. alertar quando um programa de compressão de dados for executado, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Process Injection

O uso de técnicas de injeção de processo geralmente indica que um usuário está eliminando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. alerta quando um programa usa mecanismos ptrace (depuração) para interagir com outro processo.

  • instanceId

capsule8-alerts-dataplane

Account Enumeration Via Program

Os invasores costumam usar programas de enumeração account para determinar seu nível de acesso e para ver se outros usuários estão log in no nó. alertar quando um programa associado à enumeração account for executado, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

File and Directory Discovery Via Program

Explorar sistemas de arquivos é um comportamento pós-exploração comum para um invasor em busca de credenciais e dados de interesse. alertar quando um programa associado à enumeração de arquivos e diretórios for executado, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Network Configuration Enumeration Via Program

Os invasores podem interrogar a rede local e encaminhar informações para identificar hosts e redes adjacentes antes do movimento lateral. alerta quando um programa associado à enumeração de configuração de rede é executado, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

Process Enumeration Via Program

Os invasores geralmente listam os programas em execução para identificar a finalidade de um nó e se existem ferramentas de segurança ou monitoramento. alerta quando um programa associado à enumeração de processos é executado, caso o programa já faça parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

System Information Enumeration Via Program

Os invasores geralmente executam o comando de enumeração do sistema para determinar o kernel do Linux e as versões e recursos da distribuição, geralmente para identificar se o nó é afetado por vulnerabilidades específicas. alertar quando é executado um programa associado à enumeração de informação do sistema, caso o programa já faça parte de um incidente em curso.

  • instanceId

capsule8-alerts-dataplane

Scheduled Tasks Modified Via Program

Modificar tarefas agendadas é um método comum para estabelecer persistência em um nó comprometido. alerta quando o comando crontab, at ou batch são usados para modificar configurações de tarefas agendadas.

  • instanceId

capsule8-alerts-dataplane

Systemctl Usage Detected

Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta quando o comando systemctl é usado para modificar unidades do systemd.

  • instanceId

capsule8-alerts-dataplane

User Execution Of su Command

O escalonamento explícito para o usuário root diminui a capacidade de correlacionar atividades privilegiadas a um usuário específico. alerta quando o comando su é executado.

  • instanceId

capsule8-alerts-dataplane

User Execution Of sudo Command

alerta quando o comando sudo é executado.

  • instanceId

capsule8-alerts-dataplane

User Command History Cleared

A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos.

  • instanceId

capsule8-alerts-dataplane

New System User Added

Um invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento de account local /etc/passwd, se a entidade não for adicionada por um programa de atualização do sistema.

  • instanceId

capsule8-alerts-dataplane

Password Database Modification

Os invasores podem modificar diretamente os arquivos relacionados à identidade para adicionar um novo usuário ao sistema. alerta quando um arquivo relacionado a senhas de usuários é modificado por um programa não relacionado à atualização de informações existentes do usuário.

  • instanceId

capsule8-alerts-dataplane

SSH Authorized Keys Modification

Adicionar uma nova key pública SSH é um método comum para obter acesso persistente a um host comprometido. alerta quando for observada uma tentativa de gravação no arquivo SSH authorized_keys de um usuário, se o programa já fizer parte de um incidente em andamento.

  • instanceId

capsule8-alerts-dataplane

User Account Created Via CLI

Adicionar um novo usuário é uma etapa comum para invasores ao estabelecer persistência em um nó comprometido. alerta quando um programa de gerenciamento de identidade é executado por um programa que não seja um gerenciador de pacotes.

  • instanceId

capsule8-alerts-dataplane

User Configuration Changes

A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos.

  • instanceId

capsule8-alerts-dataplane

New System User Added

O perfil do usuário e os arquivos de configuração são frequentemente modificados como um método de persistência para executar um programa sempre que um usuário log in. alerta quando .bash_profile e bashrc (bem como arquivos relacionados) são modificados por um programa que não seja uma ferramenta de atualização do sistema.

  • instanceId

Eventos de monitoramento de antivírus

Observação

O objeto JSON response nesses logs de auditoria sempre tem um campo result que inclui uma linha do resultado da verificação original. Cada resultado de verificação é normalmente representado por vários registros de logs , um para cada linha da saída de verificação original. Para obter detalhes sobre o que pode aparecer neste arquivo, consulte a documentação de terceiros a seguir.

O seguinte evento clamAVScanService-dataplane é logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

clamAVScanService-dataplane

clamAVScanAction

O monitoramento antivírus realiza uma verificação. Um logs será gerado para cada linha da saída de varredura original.

  • instanceId

Eventos logs do sistema

Observação

O objeto JSON response nos logs de auditoria tem um campo result que inclui o conteúdo original logs do sistema.

O seguinte evento syslog é logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

syslog

processEvent

Os logs do sistema processam um evento.

  • instanceId

  • processName

O monitor de processo logs eventos

Os seguintes eventos monit são logs no nível do workspace .

Serviço

Ação

Descrição

Solicitar parâmetros

monit

processNotRunning

O monitor não está funcionando.

  • instanceId

  • processName

monit

processRestarting

O monitor está reiniciando.

  • instanceId

  • processName

monit

processStarted

O monitor começa.

  • instanceId

  • processName

monit

processRunning

O monitor está funcionando.

  • instanceId

  • processName

Eventos logs obsoletos

Databricks preteriu os seguintes eventos de auditoria:

  • createAlertDestination (agora createNotificationDestination)

  • deleteAlertDestination (agora deleteNotificationDestination)

  • updateAlertDestination (agora updateNotificationDestination)

Logs SQL endpoint

Se você criar SQL warehouse usando a API SQL endpoint obsoleta (o antigo nome do SQL warehouse), o nome do evento de auditoria correspondente incluirá a palavra Endpoint em vez de Warehouse. Além do nome, esses eventos são idênticos aos eventos do SQL warehouse . Para view as descrições e solicitar parâmetros destes eventos, consulte os seus eventos de armazém correspondentes em Databricks SQL events.

Os eventos SQL endpoint são:

  • changeEndpointAcls

  • createEndpoint

  • editEndpoint

  • startEndpoint

  • stopEndpoint

  • deleteEndpoint

  • setEndpointConfig