Referência de registro de auditoria
Observação
Este recurso exige o plano Premium ouacima.
Este artigo apresenta uma referência abrangente dos serviços e eventos de log de auditoria disponíveis. Conhecendo quais eventos são registrados nos logs de auditoria, sua empresa pode monitorar padrões de uso detalhados do Databricks em sua conta.
A maneira mais fácil de acessar e query os logs de auditoria de sua accounté usando as tabelas do sistema (Public Preview).
Se quiser configurar uma entrega logs regular, consulte Configurar entrega logs de auditoria.
Serviços de registro de auditoria
Os serviços a seguir e seus eventos são registrados por padrão nos logs de auditoria.
Serviços no nível do workspace
Os registros de auditoria no nível do workspace estão disponíveis para estes serviços:
Nome do Serviço |
Descrição |
---|---|
Eventos relacionados a contas, usuários, grupos e listas de acesso a IP. |
|
Eventos relacionados a políticas de cluster. |
|
Eventos relacionados a clusters. |
|
Eventos relacionados ao uso do painel de controle de Lakeview. |
|
Eventos relacionados ao uso do Databricks SQL. |
|
Eventos relacionados ao DBFS. |
|
Eventos relacionados à pipelines Delta Live Table. |
|
Eventos relacionados ao Databricks Feature Store. |
|
Eventos relacionados à API de arquivos. |
|
Eventos relacionados ao acesso ao workspace pelo pessoal de suporte. |
|
Eventos relacionados a credenciais Git para pastas Git da Databricks. Veja também |
|
Eventos relacionados a scripts de inicialização globais. |
|
Eventos relacionados a grupos de conta e workspace. |
|
Eventos relacionados a permissões de função do IAM. |
|
Eventos relacionados ao upload de arquivos. |
|
Eventos relacionados a pools. |
|
Eventos relacionados a trabalhos. |
|
Eventos relacionados a ações do consumidor no marketplace Databricks. |
|
Eventos relacionados a ações do provedor no marketplace Databricks. |
|
Eventos relacionados a artefatos ML Flow com ACLs. |
|
Eventos relacionados a experimentos do ML Flow. |
|
Eventos relacionados ao workspace registro de modelo. Para logs de atividades de modelos no Unity Catalog, consulte EventosUnity Catalog . |
|
Eventos relacionados a notebooks. |
|
Eventos relacionados ao Partner Connect. |
|
Eventos relacionados à adição de uma remoção de credenciais do GitHub. |
|
Eventos relacionados às pastas Git do Databricks. Veja também |
|
Eventos relacionados a segredos. |
|
Eventos relacionados à veiculação do modelo. |
|
Eventos relacionados ao controle de acesso herdado Hive metastore da tabela. |
|
Eventos relacionados ao acesso SSH. |
|
Eventos relacionados ao recurso de terminal da web. |
|
Eventos relacionados a workspaces. |
Serviços no nível da conta
Os registros de auditoria no nível da conta estão disponíveis para estes serviços:
Nome do Serviço |
Descrição |
---|---|
Ações relacionadas ao acesso de uso faturável no console da conta. |
|
Ações relacionadas ao acesso em nível de conta e gerenciamento de identidade. |
|
Ações relacionadas às regras de controle de acesso no nível account . |
|
Ações executadas no console account . |
|
Log de configuração de entrega para uso faturável ou logs de auditoria. |
|
Ações relacionadas à autenticação OAuth SSO no console da conta. |
|
Ações relacionadas às credenciais da entidade de serviço. |
|
Configurações de logon único para a conta. |
|
Ações realizadas no Unity Catalog. Isso também inclui eventos do Delta Sharing, consulte Eventos do Delta Sharing. |
Serviço adicional de monitoramento de segurança
Há serviços adicionais e ações associadas para o espaço de trabalho que usam o perfil de segurançacompliance (necessário para alguns padrões compliance, como FedRAMP, PCI e HIPAA) ou o monitoramento de segurança aprimorado.
Estes são serviços de nível de workspaceque só serão gerados em seus logs se você estiver usando o perfil de segurança compliance ou monitoramento de segurança aprimorado:
Nome do Serviço |
Descrição |
---|---|
Ações relacionadas ao monitoramento da integridade de arquivos. |
|
Ações relacionadas ao monitoramento de antivírus. |
|
Ações relacionadas ao monitoramento do processo. |
|
Ações relacionadas aos logs do sistema. |
Exemplo de esquema de registro de auditoria
No Databricks, os logs de auditoria geram eventos no formato JSON. As propriedades serviceName
e actionName
identificam o evento. A convenção de nomenclatura segue a API RESTdo Databricks.
O exemplo a seguir é para um evento createMetastoreAssignment
.
{
"version":"2.0",
"auditLevel":"ACCOUNT_LEVEL",
"timestamp":1629775584891,
"orgId":"3049056262456431186970",
"shardName":"test-shard",
"accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
"sourceIPAddress":"10.2.91.100",
"userAgent":"curl/7.64.1",
"sessionId":"f836a03a-d360-4792-b081-baba525324312",
"userIdentity":{
"email":"crampton.rods@email.com",
"subjectName":null
},
"serviceName":"unityCatalog",
"actionName":"createMetastoreAssignment",
"requestId":"ServiceMain-da7fa5878f40002",
"requestParams":{
"workspace_id":"30490590956351435170",
"metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
"default_catalog_name":"main"
},
"response":{
"statusCode":200,
"errorMessage":null,
"result":null
},
"MAX_LOG_MESSAGE_LENGTH":16384
}
Considerações do esquema de log de auditoria
Se as ações demorarem muito, a solicitação e a resposta serão registradas em separado, mas o par de solicitação e resposta terá o mesmo
requestId
.Ações automáticas, como redimensionar um cluster devido ao escalonamento automático ou iniciar uma tarefa devido ao agendamento, são executadas pelo usuário
System-User
.O campo
requestParams
está sujeito a truncamento. Se o tamanho de sua representação JSON exceder 100 KB, os valores serão truncados e a string... truncated
será anexada às entradas truncadas. Em casos raros em que um mapa truncado ainda é maior que 100 KB, uma única chaveTRUNCATED
com um valor vazio está presente.
Eventos da conta
Estes são accounts
eventos registrados no nível do workspace.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário é reativado após ser desativado. Consulte Desativar usuários no espaço de trabalho. |
|
|
|
Um usuário é adicionado a um workspace do Databricks. |
|
|
|
Um usuário é adicionado a um grupo no nível workspace . |
|
|
|
Uma conta de usuário é adicionada com um certificado X509 para autenticação |
|
|
|
Um usuário log in no Databricks usando a certificação X509. |
|
|
|
As permissões Databricks SQL de um usuário são alteradas. |
|
|
|
As permissões para um workspace são alteradas. |
|
|
|
Quando as permissões em um tokens são alteradas. |
|
|
|
A senha de um usuário é alterada. |
|
|
|
As permissões de alteração de senha são alteradas na account. |
|
|
|
Quando as permissões de uma entidade de serviço são alteradas. |
|
|
|
Um grupo no nível workspaceé criado. |
|
|
|
Uma lista de acesso IP é adicionada ao workspace. |
|
|
|
Um usuário está desativado no workspace. Consulte Desativar usuários no espaço de trabalho. |
|
|
|
Um usuário é excluído do workspace do Databricks. |
|
|
|
Uma lista de acesso IP é excluída do workspace. |
|
|
|
Um usuário executa um comando de coleta de lixo em tokens expirados. |
|
|
|
Quando alguém gera tokens nas configurações do usuário ou quando o serviço gera os tokens. |
|
|
|
Um usuário tenta se conectar ao serviço por meio de um IP negado. |
|
|
|
|
|
|
|
O usuário logs no Databricks usando um JWT. |
|
|
|
O usuário logs no workspace. |
|
|
|
O usuário logs logout do workspace. |
|
|
|
O usuário registra uma nova segurança key. |
|
|
|
O usuário exclui uma segurança key. |
|
|
|
Usuário logs em Databricks usando MFA. |
|
|
|
Quando uma chamada de API é autorizada por meio de tokens OIDC/OAuth genéricos. |
|
|
|
|
|
|
|
Quando o número atual de tokens não expirados excede a cota de token |
|
|
|
As permissões de administrador workspace são revogadas a um usuário. |
|
|
|
Um grupo é removido do workspace. |
|
|
|
Um usuário é removido de um grupo. |
|
|
|
A senha de um usuário é Reset. |
|
|
|
tokens de um usuário são eliminados de um workspace. Pode ser acionado pela remoção de um usuário da account do Databricks. |
|
|
|
log in do usuário no Databricks por meio de SAML SSO. |
|
|
|
Um usuário recebe permissões de administrador account . |
|
|
|
Um usuário logs no Databricks usando tokens. |
|
|
|
Uma lista de acesso IP é alterada. |
|
|
|
Um administrador account atualiza a account de um usuário. |
|
|
|
Quando um usuário valida seu email após a criação account . |
|
Eventos de cluster
Estes são cluster
eventos registrados no nível do workspace.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário altera a ACL clusters . |
|
|
|
Um usuário cria clusters. |
|
|
|
Resultados da criação do cluster. Em conjunto com |
|
|
|
Um clusters é encerrado. |
|
|
|
Resultados do término clusters . Em conjunto com |
|
|
|
Um usuário faz alterações nas configurações de clusters. Isto logs todas as alterações, exceto as alterações no tamanho dos clusters ou no comportamento da escala automática. |
|
|
|
Um clusters é excluído da IU. |
|
|
|
clusters redimensionados. Isso é logs em clusters em execução em que a única propriedade que muda é o tamanho do cluster ou o comportamento autoscale . |
|
|
|
Resultados do redimensionamento clusters . Em conjunto com |
|
|
|
Um usuário reinicia um cluster em execução. |
|
|
|
Os resultados dos clusters são reiniciados. Em conjunto com |
|
|
|
Um usuário inicia um clusters. |
|
|
|
Resultados dos clusters começar. Em conjunto com |
|
eventos de bibliotecas clusters
Estes são clusterLibraries
eventos registrados no nível do workspace.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário instala uma biblioteca em clusters. |
|
|
|
O usuário desinstala uma biblioteca em clusters. |
|
|
|
Um administrador workspace programa uma biblioteca para instalar em todos os clusters. |
|
|
|
Um administrador do workspace remove uma biblioteca da lista para instalar em todos os clusters. |
|
eventos de política clusters
Estes são clusterPolicies
eventos registrados no nível do workspace.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário criou uma política de cluster. |
|
|
|
Um usuário editou uma política de cluster. |
|
|
|
Um usuário excluiu uma política de cluster. |
|
|
|
Um administrador workspace altera as permissões de uma política de cluster. |
|
Eventos de painéis
Estes são dashboards
eventos registrados no nível do workspace.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário cria um novo painel do Lakeview usando a interface do usuário ou a API. |
|
|
|
Um usuário faz uma atualização em um painel do Lakeview usando a interface do usuário ou a API. |
|
|
|
Um usuário clona um painel do Lakeview. |
|
|
|
Um usuário publica um painel do Lakeview com ou sem credenciais incorporadas usando a interface do usuário ou a API. |
|
|
|
Um usuário cancela a publicação de um painel do Lakeview usando a interface do usuário ou a API. |
|
|
|
Um usuário move um painel do Lakeview para a lixeira usando a interface do usuário ou a API. |
|
|
|
Um usuário restaura um painel do Lakeview da lixeira. |
|
|
|
Um usuário migra um painel DBSQL para um painel Lakeview. |
|
|
|
Um usuário cria um email inscrição programar. |
|
|
|
Um usuário faz uma atualização em um programar do painel Lakeview. |
|
|
|
Um usuário exclui um programar do painel Lakeview. |
|
|
|
Um usuário inscreve um destino email em um programa de painel Lakeview. |
|
|
|
Um usuário exclui um destino email de um programa de painel de controle Lakeview. |
|
Eventos Databricks SQL
Estes são databrickssql
eventos registrados no nível do workspace.
Observação
Se você gerenciar seu SQL warehouse usando a API SQL endpoint herdada, os eventos de auditoria SQL warehouse terão nomes de ação diferentes. Consulte SQL endpoint logs.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um widget é adicionado a um painel. |
|
|
|
Uma execução query é cancelada na interface do editor SQL. Isto não inclui cancelamentos originados da UI Query History ou da API de Execução Databricks SQL . |
|
|
|
Um gerente de warehouse atualiza permissões em um SQL warehouse. |
|
|
|
Um usuário atualiza permissões em um objeto. |
|
|
|
Um usuário clona um painel. |
|
|
|
Somente em logs de auditoria detalhados. Gerado quando um comando é enviado a um SQL warehouse, independentemente da origem da solicitação. |
|
|
|
Somente em logs de auditoria detalhados. Gerado quando um comando em um SQL warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento. |
|
|
|
Um usuário cria um alerta. |
|
|
|
Um administrador do workspace cria um destino de notificação. |
|
|
|
Um usuário cria um painel. |
|
|
|
Um usuário cria um painel de visualização de dados. |
|
|
|
Um usuário com o direito de criação de clusters cria um SQL warehouse. |
|
|
|
Um usuário cria uma query salvando um rascunho query . |
|
|
|
Um usuário cria um rascunho query . |
|
|
|
Um usuário cria um snippet query . |
|
|
|
Um usuário cria um painel de amostra. |
|
|
|
Um usuário gera uma visualização usando o editor SQL. Exclui tabelas de resultados default e visualizações no Notebook que utilizam SQL warehouse. |
|
|
|
Um usuário exclui um alerta da interface de alerta ou por meio da API. Exclui exclusões da interface do navegador de arquivos. |
|
|
|
Um administrador do workspace exclui um destino de notificação. |
|
|
|
Um usuário exclui um painel da interface do painel ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos. |
|
|
|
Um usuário exclui um widget de painel. |
|
|
|
Um gerente de warehouse exclui um SQL warehouse. |
|
|
|
Um usuário exclui uma query, seja da interface query ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos. |
|
|
|
Um usuário exclui um rascunho query . |
|
|
|
Um usuário exclui um snippet query . |
|
|
|
Um usuário exclui uma visualização de uma query no Editor SQL. |
|
|
|
Um usuário downloads um resultado query do Editor SQL. Exclui downloads de painéis. |
|
|
|
Um gerente de warehouse faz edições em um SQL warehouse. |
|
|
|
Gerado por um dos seguintes:
|
|
|
|
Um usuário executa uma query salva. |
|
|
|
Gerado por qualquer evento que executa uma query de forma que um painel refresh. Alguns exemplos de eventos aplicáveis incluem:
|
|
|
|
Um usuário adiciona um painel como favorito. |
|
|
|
Um usuário adiciona uma query aos favoritos. |
|
|
|
Um usuário clona uma query. |
|
|
|
Um usuário abre a página de listagem query ou chama a API query de lista. |
|
|
|
Um usuário move um painel para a lixeira. |
|
|
|
Um usuário move uma query para a lixeira. |
|
|
|
Um usuário silencia um alerta por meio da API. |
|
|
|
Um usuário restaura um painel da lixeira. |
|
|
|
Um usuário restaura uma query da lixeira. |
|
|
|
Um gerente de warehouse define a configuração de um SQL warehouse. |
|
|
|
Um usuário solicita um Snapshot de um painel. Inclui Snapshot do painel agendado. |
|
|
|
Um SQL warehouse está começando. |
|
|
|
Um gerente de warehouse interrompe um SQL warehouse. Exclui armazéns parados automaticamente. |
|
|
|
Um administrador de espaço de trabalho transfere a propriedade de um painel, query ou alerta para um usuário ativo. |
|
|
|
Um usuário remove um painel de seus favoritos. |
|
|
|
Um usuário remove uma query de seus favoritos. |
|
|
|
Um usuário ativa o som de um alerta por meio da API |
|
|
|
Um usuário faz atualizações em um alerta. |
|
|
|
Um administrador do workspace faz uma atualização em um destino de notificação. |
|
|
|
Um usuário faz uma atualização em um widget do painel. Exclui alterações na escala do eixo. Exemplos de atualizações aplicáveis incluem:
|
|
|
|
Um usuário faz uma atualização em uma propriedade do painel. Exclui alterações de programar e inscrição. Exemplos de atualizações aplicáveis incluem:
|
|
|
|
Um administrador workspace faz atualizações nas configurações SQL do workspace . |
|
|
|
Um usuário faz uma atualização em uma query. |
|
|
|
Um usuário atualiza um rascunho query . |
|
|
|
Um usuário atualiza um snippet query . |
|
|
|
Um usuário atualiza uma visualização no Editor SQL ou no painel. |
|
eventos DBFS
As tabelas a seguir incluem logs de eventos dbfs
no nível do workspace .
Existem dois tipos de eventos DBFS: chamadas de API e eventos operacionais.
Eventos da API do DBFS
Os seguintes eventos de auditoria do DBFS são logs somente quando gravados por meio da API REST do DBFS.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário anexa um bloco de dados à transmissão. Isso é usado em conjunto com dbfs/create para transmissão de dados para DBFS. |
|
|
|
O usuário abre uma transmissão para gravar um arquivo nos DBFs. |
|
|
|
O usuário exclui o arquivo ou diretório dos DBFs. |
|
|
|
O usuário cria um novo diretório DBFS. |
|
|
|
O usuário move um arquivo de um local para outro dentro dos DBFs. |
|
|
|
O usuário upload um arquivo por meio do uso de postagem de formulário multiparte para DBFs. |
|
Eventos operacionais do DBFS
Os seguintes eventos de auditoria DBFS ocorrem no plano compute .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário cria um ponto de montagem em um determinado local do DBFS. |
|
|
|
O usuário remove um ponto de montagem em um determinado local do DBFS. |
|
Eventos de oleodutos Delta
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário altera permissões em um pipeline. |
|
|
|
Um usuário cria um pipeline Delta Live Tables. |
|
|
|
Um usuário exclui um pipeline Delta Live Tables. |
|
|
|
Um usuário edita um pipeline Delta Live Tables. |
|
|
|
Um usuário reinicia um pipeline Delta Live Tables. |
|
|
|
Um usuário interrompe um pipeline do Delta Live Tables. |
|
repositório de recursos eventos
Os seguintes eventos featureStore
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um consumidor é adicionado ao repositório de recursos. |
|
|
|
Uma fonte de dados é adicionada a uma tabela de recursos. |
|
|
|
Um produtor é adicionado a uma tabela de recursos. |
|
|
|
As permissões são alteradas em uma tabela de recursos. |
|
|
|
Uma tabela de recursos é criada. |
|
|
|
recurso são criados em uma tabela de recursos. |
|
|
|
Uma tabela de recursos é excluída. |
|
|
|
Tags são deletadas de uma tabela de recursos. |
|
|
|
Um usuário faz uma chamada para obter os consumidores em uma tabela de recursos. |
|
|
|
Um usuário faz uma chamada para obter tabelas de recursos. |
|
|
|
Um usuário faz uma chamada para obter IDs de tabelas de recursos. |
|
|
|
Um usuário faz uma chamada para obter recurso. |
|
|
|
Um usuário faz uma chamada para obter metadados de modelo prático. |
|
|
|
Um usuário faz uma ligação para obter detalhes do armazenamento online. |
|
|
|
Um usuário faz uma chamada para obter tags para uma tabela de recursos. |
|
|
|
Uma tabela de recursos é publicada. |
|
|
|
Um usuário procura tabelas de recursos. |
|
|
|
tags são adicionadas a uma tabela de recursos. |
|
|
|
Uma tabela de recursos é atualizada. |
|
Eventos da API de arquivos
Os seguintes eventos filesystem
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Arquivo downloads do usuário. |
|
|
|
Arquivo upload do usuário. |
|
|
|
O usuário exclui o arquivo. |
|
|
|
O usuário obtém informações sobre o arquivo. |
|
eventos de gênio
Os seguintes eventos genie
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um pessoal da Databricks está autorizado a aceder a um ambiente de cliente. |
|
Eventos de credenciais do Git
Os seguintes eventos gitCredentials
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário obtém credenciais git. |
|
|
|
Um usuário lista todas as credenciais git |
nenhum |
|
|
Um usuário exclui uma credencial git. |
|
|
|
Um usuário atualiza uma credencial git. |
|
|
|
Um usuário cria uma credencial git. |
|
Eventos globais init script
Os seguintes eventos globalInitScripts
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador workspace cria um script de inicialização global. |
|
|
|
Um administrador workspace atualiza um script de inicialização global. |
|
|
|
Um administrador do workspace exclui um script de inicialização global. |
|
Grupos de eventos
Os eventos groups
a seguir são logs no nível do workspace . Essas ações estão relacionadas a grupos ACL herdados. Para ações relacionadas a grupos em nível de conta e de workspace , consulte Eventos de conta e Eventos de conta em nível de conta.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador adiciona um usuário a um grupo. |
|
|
|
Um administrador cria um grupo. |
|
|
|
Um administrador view os membros do grupo. |
|
|
|
Um administrador view uma lista de grupos |
nenhum |
|
|
Grupos herdados view de administração |
nenhum |
|
|
Um administrador remove um grupo. |
|
Eventos IAM role
O seguinte evento iamRole
é logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador do espaço de trabalho altera as permissões de uma IAM role. |
|
Eventos de ingestão
O seguinte evento ingestion
é logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário faz upload de um arquivo para o Databricks workspace. |
|
Eventos do pool de instâncias
Os seguintes eventos instancePools
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário altera as permissões de um pool de instâncias. |
|
|
|
Um usuário cria um pool de instâncias. |
|
|
|
Um usuário exclui um pool de instâncias. |
|
|
|
Um usuário edita um pool de instâncias. |
|
Eventos Job
Os seguintes eventos jobs
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Uma execução Job é cancelada. |
|
|
|
Um usuário cancela toda a execução em um Job. |
|
|
|
Um usuário atualiza permissões em um Job. |
|
|
|
Um usuário cria um Job. |
|
|
|
Um usuário exclui um Job. |
|
|
|
Um usuário exclui uma execução Job . |
|
|
|
Um usuário faz uma chamada de API para obter uma saída de execução. |
|
|
|
Um usuário repara uma execução Job . |
|
|
|
Um Job é Reset. |
|
|
|
Um usuário solicita a alteração das permissões de um Job . |
|
|
|
Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após um comando em um Notebook ser executado por uma execução Job . Um comando corresponde a uma célula em um Notebook. |
|
|
|
Uma execução Job falha. |
|
|
|
Um usuário aciona uma execução Job sob demanda. |
|
|
|
Emitido quando uma execução Job começa após a validação e criação de clusters. Os parâmetros de solicitação emitidos a partir deste evento dependem do tipo de tarefa do Job. Além dos parâmetros listados, eles podem incluir:
|
|
|
|
Uma execução Job foi bem-sucedida. |
|
|
|
Um programador Job é acionado automaticamente de acordo com seu programar ou gatilho. |
|
|
|
Um webhook é enviado quando o Job é iniciado, concluído ou falha. |
|
|
|
Um usuário define valores para uma tarefa. |
|
|
|
Um usuário envia uma execução única por meio da API. |
|
|
|
Um usuário edita as configurações de um Job . |
|
Eventos do consumidor do mercado
Os seguintes eventos marketplaceConsumer
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário obtém acesso a um produto de dados por meio do Databricks Marketplace. |
|
|
|
Um usuário solicita acesso a um produto de dados que requer aprovação do fornecedor. |
|
Eventos do provedor de mercado
Os seguintes eventos marketplaceProvider
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador do metastore cria uma listagem em seu perfil de provedor. |
|
|
|
Um administrador do metastore atualiza uma listagem em seu perfil de provedor. |
|
|
|
Um administrador do metastore exclui uma listagem em seu perfil de provedor. |
|
|
|
Os administradores do metastore aprovam ou negam uma solicitação de produto de dados. |
|
|
|
Um administrador do metastore cria um perfil de provedor. |
|
|
|
Um administrador do metastore faz uma atualização no perfil do provedor. |
|
|
|
Um administrador do metastore exclui seu perfil de provedor. |
|
|
|
Um provedor upload um arquivo em seu perfil de provedor. |
|
|
|
Um provedor exclui um arquivo do seu perfil de provedor. |
|
Artefatos MLflow com eventos ACL
Os seguintes eventos mlflowAcledArtifact
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário faz uma chamada para ler um artefato. |
|
|
|
Um usuário faz uma chamada para gravar em um artefato. |
|
Eventos de experimento do MLflow
Os seguintes eventos mlflowExperiment
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário cria um experimento MLflow. |
|
|
|
Um usuário exclui um experimento do MLflow. |
|
|
|
Um usuário move um experimento MLflow. |
|
|
|
Um usuário restaura um experimento MLflow. |
|
|
|
Um usuário renomeia um experimento MLflow. |
|
Eventos de MLflow Model Registry
Os seguintes eventos mlflowModelRegistry
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário aprova uma solicitação de transição de estágio de versão de modelo. |
|
|
|
Um usuário atualiza as permissões de um modelo registrado. |
|
|
|
Um usuário publica um comentário sobre uma versão do modelo. |
|
|
|
Um usuário cria uma versão do modelo. |
|
|
|
Um usuário cria um novo modelo registrado |
|
|
|
O usuário cria um webhook para eventos do Model Registry. |
|
|
|
Um usuário cria uma solicitação de transição de estágio de versão de modelo. |
|
|
|
Um usuário exclui um comentário em uma versão de modelo. |
|
|
|
Um usuário exclui uma versão do modelo. |
|
|
|
Um usuário exclui tags de versão de modelo. |
|
|
|
Um usuário exclui um modelo registrado |
|
|
|
Um usuário exclui as tags de um modelo registrado. |
|
|
|
O usuário exclui um webhook Model Registry . |
|
|
|
Um usuário cancela uma solicitação de transição de estágio de versão de modelo. |
|
|
|
Cópia de modelo assíncrono concluída. |
|
|
|
inferência de lotes Notebook é gerado automaticamente. |
|
|
|
O Inference Notebook para um pipeline Delta Live Tables é gerado automaticamente. |
|
|
|
Um usuário obtém um URI para downloads a versão do modelo. |
|
|
|
Um usuário obtém um URI para downloads uma versão de modelo assinada. |
|
|
|
Um usuário faz uma chamada para listar os artefatos de um modelo. |
|
|
|
Um usuário faz uma chamada para listar todos os webhooks de registro no modelo. |
|
|
|
Um usuário rejeita uma solicitação de transição de estágio de versão de modelo. |
|
|
|
Um usuário renomeia um modelo registrado |
|
|
|
Um usuário atualiza o status de inscrição email para um modelo registrado |
|
|
|
Um usuário define tags de versão de modelo. |
|
|
|
Um usuário define tags de versão de modelo. |
|
|
|
Um usuário atualiza o status das notificações email para todo o registro. |
|
|
|
Um usuário testa o webhook do Model Registry. |
|
|
|
Um usuário obtém uma lista de todas as solicitações de transição de estágio aberto para a versão do modelo. |
|
|
|
Um webhook do Model Registry é acionado por um evento. |
|
|
|
Um usuário publica uma edição em um comentário sobre uma versão de modelo. |
|
|
|
Um usuário atualiza um webhook do Model Registry. |
|
Modelar eventos de veiculação
Os seguintes eventos serverlessRealTimeInference
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário atualiza permissões para um endpoint de inferência. |
|
|
|
O usuário cria um endpoint de modelo de atividade. |
|
|
|
O usuário exclui um endpoint de modelo de atividade. |
|
|
|
O usuário desativa o modelo de atividade para um modelo cadastrado. |
|
|
|
O usuário habilita o modelo de navegação para um modelo cadastrado. |
|
|
|
Os usuários fazem uma chamada para obter a visualização do esquema query . |
|
|
|
O usuário atualiza um endpoint de modelo de atividade. |
|
eventos Notebook
Os seguintes eventos notebook
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um Notebook é anexado a clusters. |
|
|
|
Um usuário clona um Notebook. |
|
|
|
Um Notebook é criado. |
|
|
|
Uma pasta Notebook é excluída. |
|
|
|
Um Notebook é excluído. |
|
|
|
Um Notebook é separado de clusters. |
|
|
|
Um usuário downloads resultados query muito grandes para serem exibidos no Notebook. |
|
|
|
Um usuário downloads os resultados query . |
|
|
|
Um usuário importa um Notebook. |
|
|
|
Uma pasta Notebook é movida de um local para outro. |
|
|
|
Um Notebook é movido de um local para outro. |
|
|
|
Um Notebook foi renomeado. |
|
|
|
Uma pasta excluída é restaurada. |
|
|
|
Um Notebook excluído é restaurado. |
|
|
|
Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após o Databricks executar um comando em um Notebook. Um comando corresponde a uma célula em um Notebook.
|
|
|
|
Notebook Snapshot são obtidos quando o Job serviço ou o mlflow são executados. |
|
Partner Connect eventos
Os seguintes eventos partnerHub
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador do espaço de trabalho configura uma conexão com parceiros soluções. |
|
|
|
Um administrador do espaço de trabalho exclui uma conexão de parceiros. |
|
|
|
Um administrador do espaço de trabalho downloads o arquivo de conexão de parceiros. |
|
|
|
Um administrador do espaço de trabalho configura recurso para uma conexão de parceiros. |
|
Eventos de serviço de histórico remoto
Os seguintes eventos remoteHistoryService
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário adiciona credenciais do Github |
nenhum |
|
|
O usuário remove as credenciais do Github |
nenhum |
|
|
O usuário atualiza as credenciais do Github |
nenhum |
Eventos da pasta Git
Os seguintes eventos repos
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um usuário faz check-out de uma ramificação no repo. |
|
|
|
Um usuário commit e envia para um repo. |
|
|
|
Um usuário cria um repositório no workspace |
|
|
|
Um usuário exclui um repo. |
|
|
|
Um usuário descarta um commit para um repo. |
|
|
|
Um usuário faz uma chamada para obter informações sobre um único repo. |
|
|
|
Um usuário faz uma chamada para obter todos repo para os quais possui permissões de gerenciamento. |
|
|
|
Um usuário extrai o commit mais recente de um repo. |
|
|
|
Um usuário atualiza o repo para um branch ou tags diferentes ou para o commit mais recente no mesmo branch. |
|
Eventos secretos
Os seguintes eventos secrets
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário cria um Secret Scope. |
|
|
|
O usuário exclui ACLs para um Secret Scope. |
|
|
|
O usuário exclui um Secret Scope. |
|
|
|
O usuário exclui um segredo de um escopo. |
|
|
|
O usuário obtém ACLs para um Secret Scope. |
|
|
|
O usuário obtém um segredo de um escopo. |
|
|
|
O usuário faz uma chamada para listar ACLs para um Secret Scope. |
|
|
|
O usuário faz uma chamada para listar Secret Scope |
nenhum |
|
|
O usuário faz uma chamada para listar segredos dentro de um escopo. |
|
|
|
O usuário altera ACLs para um Secret Scope. |
|
|
|
O usuário adiciona ou edita um segredo dentro de um escopo. |
|
Eventos de acesso à tabela SQL
Observação
O serviço sqlPermissions
inclui eventos relacionados ao controle de acesso herdado Hive metastore da tabela. Databricks recomenda que você atualize as tabelas gerenciadas pelo Hive metastore para o metastore Unity Catalog .
Os seguintes eventos sqlPermissions
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
administrador workspace ou proprietário de um objeto transfere a propriedade do objeto. |
|
|
|
O usuário cria um objeto protegível. |
|
|
|
O proprietário do objeto nega privilégios em um objeto protegível. |
|
|
|
O proprietário do objeto concede permissão em um objeto protegido. |
|
|
|
O usuário descarta um objeto protegível. |
|
|
|
O usuário renomeia um objeto protegível. |
|
|
|
O usuário solicita permissões em um objeto protegível. |
|
|
|
O proprietário do objeto revoga permissões em seu objeto protegido. |
|
|
|
Permissões de objetos protegíveis view do usuário. |
|
eventos SSH
Os seguintes eventos ssh
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Login do agente SSH no driver Spark. |
|
|
|
Logout do agente do SSH do driver Spark. |
|
eventos de terminal da web
Os seguintes eventos webTerminal
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário inicia sessões de terminal web. |
|
|
|
O usuário fecha uma sessão de terminal web. |
|
Eventos do espaço de trabalho
Os seguintes eventos workspace
são logs no nível do workspace .
Serviço |
Nome da ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
As permissões para o workspace são alteradas. |
|
|
|
Uma configuração é excluída do workspace. |
|
|
|
O usuário cria um arquivo no workspace. |
|
|
|
O usuário exclui um arquivo no workspace. |
|
|
|
O usuário abre o editor de arquivos. |
|
|
|
O usuário obtém as funções de usuário de um workspace. |
|
|
|
Registrado quando o código de autorização OAuth interno é criado no nível do workspace . |
|
|
|
tokens OAuth são criados para workspace. |
|
|
|
Um administrador workspace move o nó workspace . |
|
|
|
Um administrador workspace limpa os nós workspace . |
|
|
|
Um pasta home existente é reanexado para um usuário que é adicionado novamente ao workspace. |
|
|
|
Um administrador workspace renomeia os nós workspace . |
|
|
|
Os atributos especiais do pasta home são removidos quando um usuário é removido do workspace. |
|
|
|
Um administrador do workspace atualiza a função de um usuário do workspace. |
|
|
|
Um administrador workspace define uma configuração workspace . |
|
|
|
O administrador do workspace faz atualizações em uma configuração, por exemplo, habilitando logs de auditoria detalhados. |
|
|
|
O usuário exporta um Notebook de um workspace. |
|
|
|
O cliente OAuth é autenticado no serviço de workspace . |
|
Eventos de uso faturáveis
Os seguintes eventos accountBillableUsage
são logs no nível da account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O usuário acessou o uso faturável agregado (uso por dia) da account por meio do recurso Uso gráfico. |
|
|
|
O usuário acessou o uso faturável detalhado (uso para cada clusters) da account por meio do recurso downloads de uso. |
|
Eventos de conta no nível da conta
Os seguintes eventos accounts
são logs no nível da account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um cliente OAuth é autenticado. |
|
|
|
A validação das permissões de IP falha. Retorna statusCode 403. |
|
|
|
Um usuário é reativado após ser desativado. Consulte Desativar usuários na account. |
|
|
|
Um usuário é adicionado à account do Databricks. |
|
|
|
Um usuário é adicionado a um grupo no nível account . |
|
|
|
Os usuários são adicionados a um grupo no nível accountusando o provisionamento SCIM. |
|
|
|
Um grupo no nível accounté criado. |
|
|
|
Um usuário está desativado. Consulte Desativar usuários na account. |
|
|
|
Um usuário é excluído da account do Databricks. |
|
|
|
o administrador account remove uma configuração da account do Databricks. |
|
|
|
Um usuário executa um comando de coleta de lixo em tokens expirados. |
|
|
|
O usuário gera tokens nas Configurações do usuário ou quando o serviço gera os tokens. |
|
|
|
Um usuário logs no console account . |
|
|
|
Um usuário logs logout do console account . |
|
|
|
Registrado quando o código de autorização OAuth interno é emitido no nível account . |
|
|
|
accountUm OAuth tokens no nível é emitido para a entidade de serviço. |
|
|
|
Um usuário logs em sua account com o fluxo de trabalho do navegador OpenID Connect. |
|
|
|
Um tokens OIDC é autenticado para um login de administrador account . |
|
|
|
A senha de um usuário é verificada durante o login no console account . |
|
|
|
Um administrador account remove permissões de administrador account de outro usuário. |
|
|
|
Um grupo é removido da account. |
|
|
|
Um usuário é removido de um grupo no nível account . |
|
|
|
Os usuários são removidos de um grupo no nível accountusando o provisionamento SCIM. |
|
|
|
Um administrador account atribui a função de administrador account a outro usuário. |
|
|
|
Um administrador account atualiza uma configuração no nível account . |
|
|
|
Um usuário logs no Databricks usando tokens. |
|
|
|
Um administrador account atualiza uma account de usuário. |
|
|
|
Um administrador account atualiza um grupo em nível de account . |
|
|
|
Quando um usuário valida seu email após a criação account . |
|
Eventos de controle de acesso no nível da conta
O seguinte evento accountsAccessControl
é logs no nível account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Quando um conjunto de regras é alterado. |
|
Eventos de gerenciamento de conta
Os seguintes eventos accountsManager
são logs no nível da account . Esses eventos têm a ver com as configurações feitas pelos administradores account no console account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O administrador aceita os termos de serviço de um workspace. |
|
|
|
account admin Reset a senha de um usuário. Também logs se o usuário alterou a senha após Reset. |
|
|
|
a função de proprietário account é transferida para outro administrador account . |
|
|
|
A account foi consolidada com outra account da Databricks. |
|
|
|
o administrador account criou uma configuração de credenciais. |
|
|
|
o administrador account criou uma configuração key gerenciada pelo cliente. |
|
|
|
o administrador account criou uma configuração de rede. |
|
|
|
o administrador account criou uma configuração de configurações de acesso privado. |
|
|
|
o administrador account criou uma configuração de armazenamento. |
|
|
|
o administrador account criou uma configuração de endpoint VPC. |
|
|
|
o administrador account cria um novo workspace. O parâmetro de solicitação |
|
|
|
o administrador account excluiu uma configuração de credenciais. |
|
|
|
o administrador account excluiu uma configuração key gerenciada pelo cliente. |
|
|
|
o administrador account excluiu uma configuração de rede. |
|
|
|
o administrador account excluiu uma configuração de configurações de acesso privado. |
|
|
|
o administrador account excluiu uma configuração de armazenamento. |
|
|
|
o administrador account excluiu uma configuração do VPC endpoint. |
|
|
|
o administrador account excluiu um workspace. |
|
|
|
o administrador account solicita detalhes sobre uma configuração de credenciais. |
|
|
|
o administrador account solicita detalhes sobre uma configuração key gerenciada pelo cliente. |
|
|
|
o administrador account solicita detalhes sobre uma configuração de rede. |
|
|
|
o administrador account solicita detalhes sobre uma configuração de configurações de acesso privado. |
|
|
|
o administrador account solicita detalhes sobre uma configuração de armazenamento. |
|
|
|
o administrador account solicita detalhes sobre uma configuração de VPC endpoint. |
|
|
|
o administrador account solicita detalhes sobre um workspace. |
|
|
|
account admin lista todas as configurações de credenciais na account. |
|
|
|
o administrador account lista todas as configurações key gerenciadas pelo cliente na account. |
|
|
|
account admin lista todas as configurações de rede na account. |
|
|
|
O administrador account lista todas as configurações de acesso privado na account. |
|
|
|
o administrador account lista todas as configurações de armazenamento na account. |
|
|
|
administrador account lista todas as inscrições de faturamento account . |
|
|
|
O administrador account listou todas as configurações do VPC endpoint da account. |
|
|
|
o administrador account lista todos os workspace da account. |
|
|
|
o administrador account lista todos os registros key de criptografia em um workspace específico. |
|
|
|
o administrador account lista todos os registros key de criptografia na account. |
|
|
|
Um email foi enviado a um administrador workspace para aceitar os Termos de serviço do Databricks. |
|
|
|
Os detalhes account foram alterados internamente. |
|
|
|
As inscrições de faturamento account foram atualizadas. |
|
|
|
O administrador atualizou a configuração de um workspace. |
|
logs eventos de entrega
Os seguintes eventos logDelivery
são logs no nível da account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O administrador criou uma configuração de entrega logs . |
|
|
|
O administrador solicitou detalhes sobre uma configuração de entrega logs . |
|
|
|
O administrador listou todas as configurações de entrega de logs na account. |
|
|
|
O administrador atualizou uma configuração de entrega logs . |
|
Eventos SSO Oauth
Os eventos oauth2
a seguir são logs no nível account e estão relacionados à autenticação OAuth SSO no console account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um administrador workspace cria integração personalizada de aplicativos. |
|
|
|
Um administrador do workspace cria uma integração de aplicativos usando uma integração de aplicativos publicada. |
|
|
|
Um administrador do workspace exclui a integração de aplicativos personalizados. |
|
|
|
Um administrador do workspace exclui a integração de aplicativos publicados. |
|
|
|
Um administrador workspace inscreve account no OAuth. |
|
|
|
Um administrador workspace atualiza a integração de aplicativos personalizados. |
|
|
|
Um administrador workspace atualiza a integração de aplicativos publicados. |
|
Eventos de credenciais da entidade de serviço (visualização pública)
Os seguintes eventos servicePrincipalCredentials
são logs no nível da account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
o administrador account gera um segredo OAuth para a entidade de serviço. |
|
|
|
o administrador account lista todos os segredos do OAuth em uma entidade de serviço. |
|
|
|
o administrador account exclui o segredo OAuth de uma entidade de serviço. |
|
Eventos de logon único
Os seguintes eventos ssoConfigBackend
são logs no nível account e estão relacionados à autenticação SSO para o console account .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
o administrador account criou uma configuração de SSO do console account . |
|
|
|
o administrador account solicitou detalhes sobre uma configuração de SSO do console account . |
|
|
|
o administrador account atualizou uma configuração de SSO do console account . |
|
Eventos Unity Catalog
Os seguintes eventos de auditoria estão relacionados ao Unity Catalog. Os eventos do Delta Sharing também são registros no serviço unityCatalog
. Para eventos Delta Sharing, consulte eventosDelta Sharing . Os eventos de auditoria do Unity Catalog podem ser registrados no nível workspace ou no nível account, dependendo do evento.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
o administrador account cria um metastore. |
|
|
|
o administrador account solicita o ID do metastore. |
|
|
|
o administrador account solicita detalhes sobre um metastore. |
|
|
|
o administrador account solicita uma lista de todos os meta-lojas em uma account. |
|
|
|
o administrador account faz uma atualização em um metastore. |
|
|
|
o administrador account exclui um metastore. |
|
|
|
o administrador account faz uma atualização na atribuição workspace de um metastore. |
|
|
|
o administrador account cria um local externo. |
|
|
|
o administrador account solicita detalhes sobre um local externo. |
|
|
|
lista de solicitações do administrador account de todos os locais externos em uma account. |
|
|
|
o administrador account faz uma atualização para um local externo. |
|
|
|
o administrador account exclui um local externo. |
|
|
|
O usuário cria um catálogo. |
|
|
|
O usuário exclui um catálogo. |
|
|
|
O usuário solicita detalhes sobre um catálogo. |
|
|
|
O usuário atualiza um catálogo. |
|
|
|
O usuário faz uma chamada para listar todos os catálogos no metastore. |
|
|
|
O usuário cria um esquema. |
|
|
|
O usuário exclui um esquema. |
|
|
|
O usuário solicita detalhes sobre um esquema. |
|
|
|
O usuário solicita uma lista de todos os esquemas em um catálogo. |
|
|
|
O usuário atualiza um esquema. |
|
|
|
|
|
|
|
O usuário cria uma tabela. Os parâmetros de solicitação diferem dependendo do tipo de tabela criada. |
|
|
|
O usuário exclui uma tabela. |
|
|
|
O usuário solicita detalhes sobre uma tabela. |
|
|
|
|
|
|
|
O usuário faz uma chamada para listar todas as tabelas em um esquema. |
|
|
|
O usuário obtém uma matriz de resumos de tabelas para um esquema e catálogo dentro do metastore. |
|
|
|
O usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam dependendo do tipo de atualização de tabela feita. |
|
|
|
o administrador account cria uma credencial de armazenamento. Você pode ver um parâmetro de solicitação adicional com base nas credenciais do seu provedor cloud . |
|
|
|
o administrador account faz uma chamada para listar todas as credenciais de armazenamento na account. |
|
|
|
o administrador account solicita detalhes sobre uma credencial de armazenamento. |
|
|
|
o administrador account faz uma atualização em uma credencial de armazenamento. |
|
|
|
o administrador account exclui uma credencial de armazenamento. |
|
|
|
logs sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem query o quê e quando. |
|
|
|
logs sempre que uma credencial temporária é concedida para um caminho. |
|
|
|
O usuário faz uma chamada para obter detalhes de permissão para um objeto protegido. Esta chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente. |
|
|
|
O usuário faz uma chamada para obter todos os detalhes de permissão de um objeto protegido. Uma chamada de permissões efetiva retorna permissões atribuídas explicitamente e herdadas. |
|
|
|
O usuário atualiza permissões em um objeto protegível. |
|
|
|
O usuário query os metadados de uma versão anterior da tabela. |
|
|
|
O usuário query os metadados e as permissões de uma versão anterior da tabela. |
|
|
|
O usuário atualiza os metadados de uma versão anterior da tabela. |
|
|
|
O usuário faz uma chamada para obter detalhes sobre uma key estrangeira. |
|
|
|
O usuário faz uma chamada para obter detalhes sobre um esquema. |
|
|
|
O usuário cria uma restrição para uma tabela. |
|
|
|
O usuário exclui uma restrição de uma tabela. |
|
|
|
O usuário cria um pipeline do Unity Catalog. |
|
|
|
O usuário atualiza um pipeline do Unity Catalog. |
|
|
|
O usuário solicita detalhes sobre um pipeline do Unity Catalog. |
|
|
|
O usuário exclui um pipeline do Unity Catalog. |
|
|
|
Falha ao excluir o recurso |
nenhum |
|
|
O usuário cria um volume do Unity Catalog. |
|
|
|
O usuário faz uma chamada para obter informações sobre um volume do Catálogo do Unity. |
|
|
|
O usuário atualiza os metadados de um volume do Unity Catalog com as chamadas |
|
|
|
O usuário exclui um volume do Unity Catalog. |
|
|
|
O usuário faz uma chamada para obter uma lista de todos os volumes do Unity Catalog em um esquema. |
|
|
|
Uma credencial temporária é gerada quando um usuário executa uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando. |
|
|
|
As atribuições de tags para um protegível são buscadas |
|
|
|
As atribuições de tags para uma subentidade são buscadas |
|
|
|
As atribuições de tags para um protegível são atualizadas |
|
|
|
As atribuições de tags para uma subentidade são atualizadas |
|
|
|
O usuário cria um modelo registrado no Unity Catalog. |
|
|
|
O usuário faz uma chamada para obter informações sobre um modelo registrado no Unity Catalog. |
|
|
|
O usuário atualiza os metadados de um modelo registrado no Unity Catalog. |
|
|
|
O usuário exclui um modelo registrado no Unity Catalog. |
|
|
|
O usuário faz uma chamada para obter uma lista de modelos registrados no Unity Catalog em um esquema ou listar modelos em catálogos e esquemas. |
|
|
|
O usuário cria uma versão do modelo no Unity Catalog. |
|
|
|
O usuário faz uma chamada para “finalizar” uma versão do modelo do Unity Catalog após fazer upload dos arquivos da versão do modelo para seu local de armazenamento, tornando-o somente leitura e utilizável no fluxo de trabalho de inferência. |
|
|
|
O usuário faz uma chamada para obter detalhes sobre uma versão do modelo. |
|
|
|
O usuário faz uma chamada para obter detalhes sobre uma versão do modelo usando o alias. |
|
|
|
O usuário atualiza os metadados de uma versão do modelo. |
|
|
|
O usuário exclui uma versão do modelo. |
|
|
|
O usuário faz uma chamada para obter uma lista de versões de modelo do Unity Catalog em um modelo registrado. |
|
|
|
Uma credencial temporária é gerada quando um usuário executa uma gravação (durante a criação da versão inicial do modelo) ou leitura (após a finalização da versão do modelo) em uma versão do modelo. Você pode usar esse evento para determinar quem acessou uma versão de modelo e quando. |
|
|
|
O usuário define um alias em um modelo registrado no Unity Catalog. |
|
|
|
O usuário exclui um alias em um modelo registrado no Unity Catalog. |
|
|
|
O usuário obtém uma versão do modelo do Unity Catalog por alias. |
|
|
|
Uma nova conexão externa é criada. |
|
|
|
Uma conexão externa é excluída. |
|
|
|
Uma conexão externa é recuperada. |
|
|
|
Uma conexão externa é atualizada. |
|
|
|
As conexões estrangeiras em um metastore são listadas. |
|
|
|
O usuário cria uma nova função. |
|
|
|
O usuário atualiza uma função. |
|
|
|
O usuário solicita uma lista de todas as funções em um catálogo ou esquema pai específico. |
|
|
|
O usuário solicita uma função de um catálogo ou esquema pai. |
|
|
|
O usuário solicita uma função de um catálogo ou esquema pai. |
|
|
|
|
|
|
|
|
Eventos de compartilhamento Delta
Os eventos do Delta Sharing são divididos em duas seções: eventos registrados no site account do provedor de dados e eventos registrados no site account do destinatário dos dados.
Eventos do provedor Delta Sharing
Os seguintes eventos de logs de auditoria são registrados no site do provedor account. As ações executadas pelos destinatários começam com o prefixo deltaSharing
. Cada um desses logs também inclui request_params.metastore_id
, que é o metastore que gerencia os dados compartilhados, e userIdentity.email
, que é o ID do usuário que iniciou a atividade.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um destinatário de dados solicita uma lista de compartilhamentos. |
|
|
|
Um destinatário de dados solicita detalhes sobre um compartilhamento. |
|
|
|
Um destinatário de dados solicita uma lista de esquemas compartilhados. |
|
|
|
Um destinatário de dados solicita uma lista de todas as tabelas compartilhadas. |
|
|
|
Um destinatário de dados solicita uma lista de tabelas compartilhadas. |
|
|
|
Um destinatário de dados solicita detalhes sobre os metadados de uma tabela. |
|
|
|
Um destinatário de dados solicita detalhes sobre uma versão de tabela. |
|
|
|
registra quando um destinatário de dados consulta uma tabela compartilhada. |
|
|
|
registra em log quando um destinatário de dados consulta os dados de alteração de uma tabela. |
|
|
|
registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo |
|
|
|
registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo |
|
|
|
Um destinatário de dados solicita uma lista de arquivos Notebook compartilhados. |
|
|
|
Um destinatário de dados consulta um arquivo Notebook compartilhado. |
|
|
|
Um destinatário de dados solicita uma lista de funções em um esquema pai. |
|
|
|
Um destinatário de dados solicita uma lista de todas as funções compartilhadas. |
|
|
|
Um destinatário de dados solicita uma lista de versões de funções. |
|
|
|
Um destinatário de dados solicita uma lista de volumes compartilhados em um esquema. |
|
|
|
Um destinatário de dados solicita todos os volumes compartilhados. |
|
|
|
O provedor atualiza seu metastore. |
|
|
|
O provedor cria um destinatário de dados. |
|
|
|
O provedor exclui um destinatário de dados. |
|
|
|
O provedor solicita detalhes sobre um destinatário de dados. |
|
|
|
O provedor solicita uma lista de todos os seus destinatários de dados. |
nenhum |
|
|
O provedor gira os tokens de um destinatário. |
|
|
|
O provedor atualiza os atributos de um destinatário de dados. |
|
|
|
O provedor atualiza os atributos de um destinatário de dados. |
|
|
|
O provedor atualiza os atributos de um destinatário de dados. |
|
|
|
O provedor solicita detalhes sobre uma ação. |
|
|
|
O provedor adiciona ou remove dados ativos de um compartilhamento. |
|
|
|
O provedor solicita uma lista de suas ações. |
nenhum |
|
|
O provedor solicita detalhes sobre as permissões de um compartilhamento. |
|
|
|
O provedor atualiza as permissões de um compartilhamento. |
|
|
|
O provedor solicita detalhes sobre as permissões de compartilhamento de um destinatário. |
|
|
|
O provedor solicita detalhes sobre a atividade em seu link de ativação. |
|
|
|
É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado. |
|
|
|
Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada. |
|
Eventos dos beneficiários do Delta Sharing
Os seguintes eventos são registrados no site account do destinatário dos dados. Esses eventos registram o acesso do destinatário a dados compartilhados e IA ativo, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:
recipient_name
: O nome do destinatário no sistema do provedor de dados.metastore_id
: O nome do metastore no sistema do provedor de dados.sourceIPAddress
: O endereço IP de onde a solicitação foi originada.
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um destinatário de dados solicita detalhes sobre uma versão de tabela compartilhada. |
|
|
|
Um destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada. |
|
|
|
Um destinatário de dados consulta uma tabela compartilhada. |
|
|
|
Um destinatário de dados consulta os dados de alteração de uma tabela. |
|
|
|
Um destinatário de dados cria um objeto de provedor. |
|
|
|
Um destinatário de dados atualiza um objeto de provedor. |
|
|
|
Um destinatário de dados exclui um objeto de provedor. |
|
|
|
Um destinatário de dados solicita detalhes sobre um objeto do provedor. |
|
|
|
Um destinatário de dados solicita uma lista de provedores. |
nenhum |
|
|
Um destinatário de dados ativa um objeto de provedor. |
|
|
|
Um destinatário de dados solicita uma lista de ações de um provedor. |
|
|
|
É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado. |
|
|
|
Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada. |
|
Eventos adicionais de monitoramento de segurança
Para recursos compute do Databricks no plano compute clássico, como VMs para clusters e SQL warehouse pro ou clássico, o recurso a seguir habilita agentes de monitoramento adicionais:
perfil de segurançacompliance . O perfil de segurança compliance é necessário para os controles compliance para PCI-DSS, HIPAA e FedRAMP Moderate.
Para o serverless SQL warehouse, os agentes de monitoramento executam se o perfil de segurança compliance estiver ativado e a região suportar o serverless SQL warehouse com o perfil de segurança compliance .
Eventos de monitoramento de integridade de arquivos
Os seguintes eventos capsule8-alerts-dataplane
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Um evento regular para confirmar se o monitor está ligado. Atualmente execução a cada 10 minutos. |
|
|
|
A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos. |
|
|
|
Monitora a integridade de arquivos importantes do sistema. alertar sobre quaisquer alterações não autorizadas nesses arquivos. Databricks define conjuntos específicos de caminhos do sistema na imagem, e este conjunto de caminhos pode mudar ao longo do tempo. |
|
|
|
Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta sempre que um arquivo de unidade |
|
|
|
As falhas repetidas do programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. alerta quando mais de 5 instâncias de um programa individual travam por falha de segmentação. |
|
|
|
Como os contêineres são normalmente cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. alerta quando um arquivo criado ou modificado em 30 minutos é executado em um contêiner. |
|
|
|
A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos. |
|
|
|
shell interativo são ocorrências raras na infraestrutura de produção moderna. alerta quando um shell interativo é iniciado com argumentos comumente usados para shells reversos. |
|
|
|
Evitar o registro de comandos é uma prática comum para invasores, mas também pode indicar que um usuário legítimo está executando ações não autorizadas ou tentando fugir da política. alerta quando uma alteração no registro do comando história do usuário é detectada, indicando que um usuário está tentando escapar do registro do comando. |
|
|
|
Detecta alguns tipos de backdoors do kernel. O carregamento de um novo programa Berkeley Packet Filter (BPF) pode indicar que um invasor está carregando um rootkit baseado em BPF para ganhar persistência e evitar detecção. alerta quando um processo carrega um novo programa BPF privilegiado, caso o processo já faça parte de um incidente em andamento. |
|
|
|
Os invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. alerta quando um módulo do kernel é carregado, se o programa já faz parte de um incidente em andamento. |
|
|
|
Os invasores podem criar ou renomear binários maliciosos para incluir um espaço no final do nome, em um esforço para se passar por um programa ou serviço legítimo do sistema. alerta quando um programa é executado com um espaço após o nome do programa. |
|
|
|
As explorações de escalonamento de privilégios do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de root sem passar por portas padrão para alterações de privilégios. alerta quando um programa tenta elevar privilégios por meios incomuns. Isto pode emitir alertas falsos positivos em nós com cargas de trabalho significativas. |
|
|
|
As funções internas do kernel não são acessíveis a programas regulares e, se chamadas, são um forte indicador de que uma exploração do kernel foi executada e que o invasor tem controle total do nó. alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário. |
|
|
|
SMEP e SMAP são proteções em nível de processador que aumentam a dificuldade de sucesso das explorações do kernel, e desabilitar essas restrições é uma etapa inicial comum nas explorações do kernel. alerta quando um programa altera a configuração SMEP/SMAP do kernel. |
|
|
|
alerta quando um programa usa funções de kernel comumente usadas em explorações de escape de contêineres, indicando que um invasor está escalando privilégios de acesso a contêineres para acesso a nós. |
|
|
|
Containers privilegiados têm acesso direto ao recurso do host, causando maior impacto quando comprometidos. alerta quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos. |
|
|
|
Muitas fugas de contêiner forçam o host a executar um binário no contêiner, resultando no invasor ganhando controle total do nó afetado. alerta quando um arquivo criado em contêiner é executado de fora de um contêiner. |
|
|
|
A modificação de determinados atributos do AppArmor só pode ocorrer no kernel, indicando que o AppArmor foi desativado por uma exploração ou rootkit do kernel. alerta quando o estado do AppArmor é alterado da configuração do AppArmor detectada quando o sensor é iniciado. |
|
|
|
Os invasores podem tentar desativar a aplicação de perfis do AppArmor como parte da evasão da detecção. alerta quando um comando para modificação de um perfil do AppArmor é executado, caso não tenha sido executado por um usuário em uma sessão SSH. |
|
|
|
Se não for realizada por uma fonte confiável (como um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que um invasor modificou o kernel ou suas opções para obter acesso persistente a um host. alerta quando alterações são feitas nos arquivos em |
|
|
|
A exclusão de logs não realizada por uma ferramenta de gerenciamento de logs pode indicar que um invasor está tentando remover indicadores de comprometimento. alerta sobre exclusão de arquivos logs do sistema. |
|
|
|
Arquivos recém-criados de fontes diferentes de programas de atualização do sistema podem ser backdoors, explorações de kernel ou parte de uma cadeia de exploração. alerta quando um arquivo criado ou modificado em 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema. |
|
|
|
A modificação do armazenamento de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, permitindo a interceptação do tráfego de rede ou o desvio da verificação de assinatura de código. alerta quando um armazenamento de certificados de CA do sistema é alterado. |
|
|
|
A configuração de |
|
|
|
Os invasores geralmente criam arquivos ocultos como forma de ocultar ferramentas e cargas em um host comprometido. alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento. |
|
|
|
Os invasores podem modificar as utilidades do sistema para executar cargas maliciosas sempre que essas utilidades forem executadas. alerta quando um sistema russo comum é modificado por um processo não autorizado. |
|
|
|
Um invasor ou usuário não autorizado pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais a serem comprometidos. alerta quando ferramentas comuns de programas de varredura de rede são executadas. |
|
|
|
Os invasores podem lançar um novo serviço de rede para fornecer acesso fácil a um host após comprometimento. alertar quando um programa iniciar um novo serviço de rede, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Um invasor ou usuário não autorizado pode executar um comando de detecção de rede para capturar credenciais, informações de identificação pessoal (PII) ou outras informações confidenciais. alerta quando é executado um programa que permite captura de rede. |
|
|
|
O uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Os mineradores de canais de comando e controle e criptomoedas geralmente criam novas conexões de rede de saída em portas incomuns. alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Depois de obter acesso a um sistema, um invasor pode criar um arquivo compactado de arquivos para reduzir o tamanho dos dados para exfiltração. alertar quando um programa de compressão de dados for executado, se o programa já fizer parte de um incidente em andamento. |
|
|
|
O uso de técnicas de injeção de processo geralmente indica que um usuário está eliminando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. alerta quando um programa usa mecanismos |
|
|
|
Os invasores costumam usar programas de enumeração account para determinar seu nível de acesso e para ver se outros usuários estão log in no nó. alertar quando um programa associado à enumeração account for executado, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Explorar sistemas de arquivos é um comportamento pós-exploração comum para um invasor em busca de credenciais e dados de interesse. alertar quando um programa associado à enumeração de arquivos e diretórios for executado, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Os invasores podem interrogar a rede local e encaminhar informações para identificar hosts e redes adjacentes antes do movimento lateral. alerta quando um programa associado à enumeração de configuração de rede é executado, se o programa já fizer parte de um incidente em andamento. |
|
|
|
Os invasores geralmente listam os programas em execução para identificar a finalidade de um nó e se existem ferramentas de segurança ou monitoramento. alerta quando um programa associado à enumeração de processos é executado, caso o programa já faça parte de um incidente em andamento. |
|
|
|
Os invasores geralmente executam o comando de enumeração do sistema para determinar o kernel do Linux e as versões e recursos da distribuição, geralmente para identificar se o nó é afetado por vulnerabilidades específicas. alertar quando é executado um programa associado à enumeração de informação do sistema, caso o programa já faça parte de um incidente em curso. |
|
|
|
Modificar tarefas agendadas é um método comum para estabelecer persistência em um nó comprometido. alerta quando o comando |
|
|
|
Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta quando o comando |
|
|
|
O escalonamento explícito para o usuário root diminui a capacidade de correlacionar atividades privilegiadas a um usuário específico. alerta quando o comando |
|
|
|
alerta quando o comando |
|
|
|
A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos. |
|
|
|
Um invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento de account local |
|
|
|
Os invasores podem modificar diretamente os arquivos relacionados à identidade para adicionar um novo usuário ao sistema. alerta quando um arquivo relacionado a senhas de usuários é modificado por um programa não relacionado à atualização de informações existentes do usuário. |
|
|
|
Adicionar uma nova key pública SSH é um método comum para obter acesso persistente a um host comprometido. alerta quando for observada uma tentativa de gravação no arquivo SSH |
|
|
|
Adicionar um novo usuário é uma etapa comum para invasores ao estabelecer persistência em um nó comprometido. alerta quando um programa de gerenciamento de identidade é executado por um programa que não seja um gerenciador de pacotes. |
|
|
|
A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos. |
|
|
|
O perfil do usuário e os arquivos de configuração são frequentemente modificados como um método de persistência para executar um programa sempre que um usuário log in. alerta quando |
|
Eventos de monitoramento de antivírus
Observação
O objeto JSON response
nesses logs de auditoria sempre tem um campo result
que inclui uma linha do resultado da verificação original. Cada resultado de verificação é normalmente representado por vários registros de logs , um para cada linha da saída de verificação original. Para obter detalhes sobre o que pode aparecer neste arquivo, consulte a documentação de terceiros a seguir.
O seguinte evento clamAVScanService-dataplane
é logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O monitoramento antivírus realiza uma verificação. Um logs será gerado para cada linha da saída de varredura original. |
|
Eventos logs do sistema
Observação
O objeto JSON response
nos logs de auditoria tem um campo result
que inclui o conteúdo original logs do sistema.
O seguinte evento syslog
é logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
Os logs do sistema processam um evento. |
|
O monitor de processo logs eventos
Os seguintes eventos monit
são logs no nível do workspace .
Serviço |
Ação |
Descrição |
Solicitar parâmetros |
---|---|---|---|
|
|
O monitor não está funcionando. |
|
|
|
O monitor está reiniciando. |
|
|
|
O monitor começa. |
|
|
|
O monitor está funcionando. |
|
Eventos logs obsoletos
Databricks preteriu os seguintes eventos de auditoria:
createAlertDestination
(agoracreateNotificationDestination
)deleteAlertDestination
(agoradeleteNotificationDestination
)updateAlertDestination
(agoraupdateNotificationDestination
)
Logs SQL endpoint
Se você criar SQL warehouse usando a API SQL endpoint obsoleta (o antigo nome do SQL warehouse), o nome do evento de auditoria correspondente incluirá a palavra Endpoint
em vez de Warehouse
. Além do nome, esses eventos são idênticos aos eventos do SQL warehouse . Para view as descrições e solicitar parâmetros destes eventos, consulte os seus eventos de armazém correspondentes em Databricks SQL events.
Os eventos SQL endpoint são:
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig