Referência de registro de auditoria

Observação

Este recurso exige o plano Premium ouacima.

Este artigo apresenta uma referência abrangente dos serviços e eventos de log de auditoria disponíveis. Conhecendo quais eventos são registrados nos logs de auditoria, sua empresa pode monitorar padrões de uso detalhados do Databricks em sua conta.

A maneira mais fácil de acessar e query os logs de auditoria de sua accounté usando as tabelas do sistema (Public Preview).

Se quiser configurar uma entrega logs regular, consulte Configurar entrega logs de auditoria.

Serviços de registro de auditoria

Os serviços a seguir e seus eventos são registrados por padrão nos logs de auditoria.

Serviços no nível do workspace

Os registros de auditoria no nível do workspace estão disponíveis para estes serviços:

Nome do Serviço	Descrição
contas	Eventos relacionados a contas, usuários, grupos e listas de acesso a IP.
clusterPolicies	Eventos relacionados a políticas de cluster.
clusters	Eventos relacionados a clusters.
painéis	Eventos relacionados ao uso do painel de controle de Lakeview.
databrickssql	Eventos relacionados ao uso do Databricks SQL.
dbfs	Eventos relacionados ao DBFS.
deltaPipelines	Eventos relacionados à pipelines Delta Live Table.
featureStore	Eventos relacionados ao Databricks Feature Store.
sistema de arquivo	Eventos relacionados à API de arquivos.
genie	Eventos relacionados ao acesso ao workspace pelo pessoal de suporte.
gitCredentials	Eventos relacionados a credenciais Git para pastas Git da Databricks. Veja também repos.
globalInitScripts	Eventos relacionados a scripts de inicialização globais.
groups	Eventos relacionados a grupos de conta e workspace.
iamRole	Eventos relacionados a permissões de função do IAM.
Ingestão	Eventos relacionados ao upload de arquivos.
instânciaPools	Eventos relacionados a pools.
empregos	Eventos relacionados a trabalhos.
mercadoConsumidor	Eventos relacionados a ações do consumidor no marketplace Databricks.
provedor de mercado	Eventos relacionados a ações do provedor no marketplace Databricks.
mlflowAcledArtifact	Eventos relacionados a artefatos ML Flow com ACLs.
mlflowExperiment	Eventos relacionados a experimentos do ML Flow.
modeloRegistro	Eventos relacionados ao workspace registro de modelo. Para logs de atividades de modelos no Unity Catalog, consulte EventosUnity Catalog .
notebook	Eventos relacionados a notebooks.
partnerConnect	Eventos relacionados ao Partner Connect.
remoteHistoryService	Eventos relacionados à adição de uma remoção de credenciais do GitHub.
repos	Eventos relacionados às pastas Git do Databricks. Veja também gitCredentials.
segredos	Eventos relacionados a segredos.
serverlessRealTimeInference	Eventos relacionados à veiculação do modelo.
sqlPermissions	Eventos relacionados ao controle de acesso herdado Hive metastore da tabela.
ssh	Eventos relacionados ao acesso SSH.
webTerminal	Eventos relacionados ao recurso de terminal da web.
workspace	Eventos relacionados a workspaces.

Serviços no nível da conta

Os registros de auditoria no nível da conta estão disponíveis para estes serviços:

Nome do Serviço	Descrição
accountBillableUsage	Ações relacionadas ao acesso de uso faturável no console da conta.
contas	Ações relacionadas ao acesso em nível de conta e gerenciamento de identidade.
AccountsAccessControl	Ações relacionadas às regras de controle de acesso no nível account .
accountsManager	Ações executadas no console account .
logDelivery	Log de configuração de entrega para uso faturável ou logs de auditoria.
oauth2	Ações relacionadas à autenticação OAuth SSO no console da conta.
servicePrincipalCredentials	Ações relacionadas às credenciais da entidade de serviço.
ssoConfigBackend	Configurações de logon único para a conta.
unityCatalog	Ações realizadas no Unity Catalog. Isso também inclui eventos do Delta Sharing, consulte Eventos do Delta Sharing.

Serviço adicional de monitoramento de segurança

Há serviços adicionais e ações associadas para o espaço de trabalho que usam o perfil de segurançacompliance (necessário para alguns padrões compliance, como FedRAMP, PCI e HIPAA) ou o monitoramento de segurança aprimorado.

Estes são serviços de nível de workspaceque só serão gerados em seus logs se você estiver usando o perfil de segurança compliance ou monitoramento de segurança aprimorado:

Nome do Serviço	Descrição
cápsula8-alerta-dataplane	Ações relacionadas ao monitoramento da integridade de arquivos.
clamAVScanService-dataplanel	Ações relacionadas ao monitoramento de antivírus.
monitorar	Ações relacionadas ao monitoramento do processo.
registro de sistema	Ações relacionadas aos logs do sistema.

Exemplo de esquema de registro de auditoria

No Databricks, os logs de auditoria geram eventos no formato JSON. As propriedades serviceName e actionName identificam o evento. A convenção de nomenclatura segue a API RESTdo Databricks.

O exemplo a seguir é para um evento createMetastoreAssignment.

  {
    "version":"2.0",
    "auditLevel":"ACCOUNT_LEVEL",
    "timestamp":1629775584891,
    "orgId":"3049056262456431186970",
    "shardName":"test-shard",
    "accountId":"77636e6d-ac57-484f-9302-f7922285b9a5",
    "sourceIPAddress":"10.2.91.100",
    "userAgent":"curl/7.64.1",
    "sessionId":"f836a03a-d360-4792-b081-baba525324312",
    "userIdentity":{
      "email":"crampton.rods@email.com",
      "subjectName":null
    },
    "serviceName":"unityCatalog",
    "actionName":"createMetastoreAssignment",
    "requestId":"ServiceMain-da7fa5878f40002",
    "requestParams":{
      "workspace_id":"30490590956351435170",
      "metastore_id":"abc123456-8398-4c25-91bb-b000b08739c7",
      "default_catalog_name":"main"
    },
    "response":{
      "statusCode":200,
      "errorMessage":null,
      "result":null
    },
    "MAX_LOG_MESSAGE_LENGTH":16384
  }

Considerações do esquema de log de auditoria

• Se as ações demorarem muito, a solicitação e a resposta serão registradas em separado, mas o par de solicitação e resposta terá o mesmo requestId.

• Ações automáticas, como redimensionar um cluster devido ao escalonamento automático ou iniciar uma tarefa devido ao agendamento, são executadas pelo usuário System-User.

• O campo requestParams está sujeito a truncamento. Se o tamanho de sua representação JSON exceder 100 KB, os valores serão truncados e a string ... truncated será anexada às entradas truncadas. Em casos raros em que um mapa truncado ainda é maior que 100 KB, uma única chave TRUNCATED com um valor vazio está presente.

Eventos da conta

Estes são accounts eventos registrados no nível do workspace.

Serviço	Ação	Descrição	Solicitar parâmetros
accounts	activateUser	Um usuário é reativado após ser desativado. Consulte Desativar usuários no espaço de trabalho.	targetUserName endpoint targetUserId
accounts	add	Um usuário é adicionado a um workspace do Databricks.	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	Um usuário é adicionado a um grupo no nível workspace .	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addX509	Uma conta de usuário é adicionada com um certificado X509 para autenticação
accounts	certLogin	Um usuário log in no Databricks usando a certificação X509.	user
accounts	changeDatabricksSqlAcl	As permissões Databricks SQL de um usuário são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changeDatabricksWorkspaceAcl	As permissões para um workspace são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changeDbTokenAcl	Quando as permissões em um tokens são alteradas.	shardName targetUserId resourceId aclPermissionSet
accounts	changePassword	A senha de um usuário é alterada.	newPasswordSource targetUserId serviceSource wasPasswordChanged userId
accounts	changePasswordAcl	As permissões de alteração de senha são alteradas na account.	shardName targetUserId resourceId aclPermissionSet
accounts	changeServicePrincipalAcls	Quando as permissões de uma entidade de serviço são alteradas.	shardName targetServicePrincipal resourceId aclPermissionSet
accounts	createGroup	Um grupo no nível workspaceé criado.	endpoint targetGroupId targetGroupName
accounts	createIpAccessList	Uma lista de acesso IP é adicionada ao workspace.	ipAccessListId userId
accounts	deactivateUser	Um usuário está desativado no workspace. Consulte Desativar usuários no espaço de trabalho.	targetUserName endpoint targetUserId
accounts	delete	Um usuário é excluído do workspace do Databricks.	targetUserId targetUserName endpoint
accounts	deleteIpAccessList	Uma lista de acesso IP é excluída do workspace.	ipAccessListId userId
accounts	garbageCollectDbToken	Um usuário executa um comando de coleta de lixo em tokens expirados.	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed
accounts	generateDbToken	Quando alguém gera tokens nas configurações do usuário ou quando o serviço gera os tokens.	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	IpAccessDenied	Um usuário tenta se conectar ao serviço por meio de um IP negado.	path userName
accounts	ipAccessListQuotaExceeded		userId
accounts	jwtLogin	O usuário logs no Databricks usando um JWT.	user
accounts	login	O usuário logs no workspace.	user
accounts	logout	O usuário logs logout do workspace.	user
accounts	mfaAddKey	O usuário registra uma nova segurança key.
accounts	mfaDeleteKey	O usuário exclui uma segurança key.	id
accounts	mfaLogin	Usuário logs em Databricks usando MFA.	user
accounts	oidcTokenAuthorization	Quando uma chamada de API é autorizada por meio de tokens OIDC/OAuth genéricos.	user
accounts	passwordVerifyAuthentication		user
accounts	reachMaxQuotaDbToken	Quando o número atual de tokens não expirados excede a cota de token
accounts	removeAdmin	As permissões de administrador workspace são revogadas a um usuário.	targetUserName endpoint targetUserId
accounts	removeGroup	Um grupo é removido do workspace.	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	Um usuário é removido de um grupo.	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	resetPassword	A senha de um usuário é Reset.	serviceSource userId endpoint targetUserId targetUserName wasPasswordChanged newPasswordSource
accounts	revokeDbToken	tokens de um usuário são eliminados de um workspace. Pode ser acionado pela remoção de um usuário da account do Databricks.	userId
accounts	samlLogin	log in do usuário no Databricks por meio de SAML SSO.	user
accounts	setAdmin	Um usuário recebe permissões de administrador account .	endpoint targetUserName targetUserId
accounts	tokenLogin	Um usuário logs no Databricks usando tokens.	tokenId user
accounts	updateIpAccessList	Uma lista de acesso IP é alterada.	ipAccessListId userId
accounts	updateUser	Um administrador account atualiza a account de um usuário.	targetUserName endpoint targetUserId
accounts	validateEmail	Quando um usuário valida seu email após a criação account .	endpoint targetUserName targetUserId

Eventos de cluster

Estes são cluster eventos registrados no nível do workspace.

Serviço	Ação	Descrição	Solicitar parâmetros
clusters	changeClusterAcl	Um usuário altera a ACL clusters .	shardName aclPermissionSet targetUserId resourceId
clusters	create	Um usuário cria clusters.	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode runtime_engine
clusters	createResult	Resultados da criação do cluster. Em conjunto com create.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	delete	Um clusters é encerrado.	cluster_id
clusters	deleteResult	Resultados do término clusters . Em conjunto com delete.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	edit	Um usuário faz alterações nas configurações de clusters. Isto logs todas as alterações, exceto as alterações no tamanho dos clusters ou no comportamento da escala automática.	cluster_log_conf num_workers enable_elastic_disk driver_node_type_id start_cluster docker_image ssh_public_keys aws_attributes acl_path_prefix node_type_id instance_pool_id spark_env_vars init_scripts spark_version cluster_source autotermination_minutes cluster_name autoscale custom_tags cluster_creator enable_local_disk_encryption idempotency_token spark_conf organization_id no_driver_daemon user_id virtual_cluster_size apply_policy_default_values data_security_mode runtime_engine
clusters	permanentDelete	Um clusters é excluído da IU.	cluster_id
clusters	resize	clusters redimensionados. Isso é logs em clusters em execução em que a única propriedade que muda é o tamanho do cluster ou o comportamento autoscale .	cluster_id num_workers autoscale
clusters	resizeResult	Resultados do redimensionamento clusters . Em conjunto com resize.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	restart	Um usuário reinicia um cluster em execução.	cluster_id
clusters	restartResult	Os resultados dos clusters são reiniciados. Em conjunto com restart.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId
clusters	start	Um usuário inicia um clusters.	init_scripts_safe_mode cluster_id
clusters	startResult	Resultados dos clusters começar. Em conjunto com start.	clusterName clusterState clusterId clusterWorkers clusterOwnerUserId

eventos de bibliotecas clusters

Estes são clusterLibraries eventos registrados no nível do workspace.

Serviço	Ação	Descrição	Solicitar parâmetros
clusterLibraries	installLibraries	O usuário instala uma biblioteca em clusters.	cluster_id libraries
clusterLibraries	uninstallLibraries	O usuário desinstala uma biblioteca em clusters.	cluster_id libraries
clusterLibraries	installLibraryOnAllClusters	Um administrador workspace programa uma biblioteca para instalar em todos os clusters.	user library
clusterLibraries	uninstallLibraryOnAllClusters	Um administrador do workspace remove uma biblioteca da lista para instalar em todos os clusters.	user library

eventos de política clusters

Estes são clusterPolicies eventos registrados no nível do workspace.

Serviço	Ação	Descrição	Solicitar parâmetros
clusterPolicies	create	Um usuário criou uma política de cluster.	name
clusterPolicies	edit	Um usuário editou uma política de cluster.	policy_id name
clusterPolicies	delete	Um usuário excluiu uma política de cluster.	policy_id
clusterPolicies	changeClusterPolicyAcl	Um administrador workspace altera as permissões de uma política de cluster.	shardName targetUserId resourceId aclPermissionSet

Eventos de painéis

Estes são dashboards eventos registrados no nível do workspace.

Serviço	Ação	Descrição	Solicitar parâmetros
dashboards	createDashboard	Um usuário cria um novo painel do Lakeview usando a interface do usuário ou a API.	dashboard_id
dashboards	updateDashboard	Um usuário faz uma atualização em um painel do Lakeview usando a interface do usuário ou a API.	dashboard_id
dashboards	cloneDashboard	Um usuário clona um painel do Lakeview.	source_dashboard_id new_dashboard_id
dashboards	publishDashboard	Um usuário publica um painel do Lakeview com ou sem credenciais incorporadas usando a interface do usuário ou a API.	dashboard_id credentials_embedded warehouse_id
dashboards	unpublishDashboard	Um usuário cancela a publicação de um painel do Lakeview usando a interface do usuário ou a API.	dashboard_id
dashboards	trashDashboard	Um usuário move um painel do Lakeview para a lixeira usando a interface do usuário ou a API.	dashboard_id
dashboards	restoreDashboard	Um usuário restaura um painel do Lakeview da lixeira.	dashboard_id
dashboards	migrateDashboard	Um usuário migra um painel DBSQL para um painel Lakeview.	source_dashboard_id new_dashboard_id
dashboards	createSchedule	Um usuário cria um email inscrição programar.	dashboard_id schedule_id
dashboards	updateSchedule	Um usuário faz uma atualização em um programar do painel Lakeview.	dashboard_id schedule_id
dashboards	deleteSchedule	Um usuário exclui um programar do painel Lakeview.	dashboard_id schedule_id
dashboards	createSubscription	Um usuário inscreve um destino email em um programa de painel Lakeview.	dashboard_id schedule_id schedule
dashboards	deleteSubscription	Um usuário exclui um destino email de um programa de painel de controle Lakeview.	dashboard_id schedule_id

Eventos Databricks SQL

Estes são databrickssql eventos registrados no nível do workspace.

Observação

Se você gerenciar seu SQL warehouse usando a API SQL endpoint herdada, os eventos de auditoria SQL warehouse terão nomes de ação diferentes. Consulte SQL endpoint logs.

Serviço	Ação	Descrição	Solicitar parâmetros
databrickssql	addDashboardWidget	Um widget é adicionado a um painel.	dashboardId widgetId
databrickssql	cancelQueryExecution	Uma execução query é cancelada na interface do editor SQL. Isto não inclui cancelamentos originados da UI Query History ou da API de Execução Databricks SQL .	queryExecutionId
databrickssql	changeWarehouseAcls	Um gerente de warehouse atualiza permissões em um SQL warehouse.	aclPermissionSet resourceId shardName targetUserId
databrickssql	changePermissions	Um usuário atualiza permissões em um objeto.	granteeAndPermission objectId objectType
databrickssql	cloneDashboard	Um usuário clona um painel.	dashboardId
databrickssql	commandSubmit	Somente em logs de auditoria detalhados. Gerado quando um comando é enviado a um SQL warehouse, independentemente da origem da solicitação.	warehouseId commandId validation commandText
databrickssql	commandFinish	Somente em logs de auditoria detalhados. Gerado quando um comando em um SQL warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento.	warehouseId commandId
databrickssql	createAlert	Um usuário cria um alerta.	alertId
databrickssql	createNotificationDestination	Um administrador do workspace cria um destino de notificação.	notificationDestinationId notificationDestinationType
databrickssql	createDashboard	Um usuário cria um painel.	dashboardId
databrickssql	createDataPreviewDashboard	Um usuário cria um painel de visualização de dados.	dashboardId
databrickssql	createWarehouse	Um usuário com o direito de criação de clusters cria um SQL warehouse.	auto_resume auto_stop_mins channel cluster_size conf_pairs custom_cluster_confs enable_databricks_compute enable_photon enable_serverless_compute instance_profile_arn max_num_clusters min_num_clusters name size spot_instance_policy tags test_overrides
databrickssql	createQuery	Um usuário cria uma query salvando um rascunho query .	queryId
databrickssql	createQueryDraft	Um usuário cria um rascunho query .	queryId
databrickssql	createQuerySnippet	Um usuário cria um snippet query .	querySnippetId
databrickssql	createSampleDashboard	Um usuário cria um painel de amostra.	sampleDashboardId
databrickssql	createVisualization	Um usuário gera uma visualização usando o editor SQL. Exclui tabelas de resultados default e visualizações no Notebook que utilizam SQL warehouse.	queryId visualizationId
databrickssql	deleteAlert	Um usuário exclui um alerta da interface de alerta ou por meio da API. Exclui exclusões da interface do navegador de arquivos.	alertId
databrickssql	deleteNotificationDestination	Um administrador do workspace exclui um destino de notificação.	notificationDestinationId
databrickssql	deleteDashboard	Um usuário exclui um painel da interface do painel ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos.	dashboardId
databrickssql	deleteDashboardWidget	Um usuário exclui um widget de painel.	widgetId
databrickssql	deleteWarehouse	Um gerente de warehouse exclui um SQL warehouse.	id
databrickssql	deleteQuery	Um usuário exclui uma query, seja da interface query ou por meio da API. Exclui exclusão por meio da IU do navegador de arquivos.	queryId
databrickssql	deleteQueryDraft	Um usuário exclui um rascunho query .	queryId
databrickssql	deleteQuerySnippet	Um usuário exclui um snippet query .	querySnippetId
databrickssql	deleteVisualization	Um usuário exclui uma visualização de uma query no Editor SQL.	visualizationId
databrickssql	downloadQueryResult	Um usuário downloads um resultado query do Editor SQL. Exclui downloads de painéis.	fileType queryId queryResultId
databrickssql	editWarehouse	Um gerente de warehouse faz edições em um SQL warehouse.	auto_stop_mins channel cluster_size confs enable_photon enable_serverless_compute id instance_profile_arn max_num_clusters min_num_clusters name spot_instance_policy tags
databrickssql	executeAdhocQuery	Gerado por um dos seguintes: Um usuário executando um rascunho query no editor SQL Uma query é executada a partir de uma agregação de visualização Um usuário carrega um painel e executa querysubjacente	dataSourceId
databrickssql	executeSavedQuery	Um usuário executa uma query salva.	queryId
databrickssql	executeWidgetQuery	Gerado por qualquer evento que executa uma query de forma que um painel refresh. Alguns exemplos de eventos aplicáveis incluem: Atualizando um único painel Atualizando um painel inteiro Execuções agendadas de painel Alterações de parâmetros ou filtros operando em mais de 64.000 linhas	widgetId
databrickssql	favoriteDashboard	Um usuário adiciona um painel como favorito.	dashboardId
databrickssql	favoriteQuery	Um usuário adiciona uma query aos favoritos.	queryId
databrickssql	forkQuery	Um usuário clona uma query.	originalQueryId queryId
databrickssql	listQueries	Um usuário abre a página de listagem query ou chama a API query de lista.	filter_by include_metrics max_results page_token
databrickssql	moveDashboardToTrash	Um usuário move um painel para a lixeira.	dashboardId
databrickssql	moveQueryToTrash	Um usuário move uma query para a lixeira.	queryId
databrickssql	muteAlert	Um usuário silencia um alerta por meio da API.	alertId
databrickssql	restoreDashboard	Um usuário restaura um painel da lixeira.	dashboardId
databrickssql	restoreQuery	Um usuário restaura uma query da lixeira.	queryId
databrickssql	setWarehouseConfig	Um gerente de warehouse define a configuração de um SQL warehouse.	data_access_config enable_serverless_compute instance_profile_arn security_policy serverless_agreement sql_configuration_parameters try_create_databricks_managed_starter_warehouse
databrickssql	snapshotDashboard	Um usuário solicita um Snapshot de um painel. Inclui Snapshot do painel agendado.	dashboardId
databrickssql	startWarehouse	Um SQL warehouse está começando.	id
databrickssql	stopWarehouse	Um gerente de warehouse interrompe um SQL warehouse. Exclui armazéns parados automaticamente.	id
databrickssql	transferObjectOwnership	Um administrador de espaço de trabalho transfere a propriedade de um painel, query ou alerta para um usuário ativo.	newOwner objectId objectType
databrickssql	unfavoriteDashboard	Um usuário remove um painel de seus favoritos.	dashboardId
databrickssql	unfavoriteQuery	Um usuário remove uma query de seus favoritos.	queryId
databrickssql	unmuteAlert	Um usuário ativa o som de um alerta por meio da API	alertId.
databrickssql	updateAlert	Um usuário faz atualizações em um alerta.	alertId queryId
databrickssql	updateNotificationDestination	Um administrador do workspace faz uma atualização em um destino de notificação.	notificationDestinationId
databrickssql	updateDashboardWidget	Um usuário faz uma atualização em um widget do painel. Exclui alterações na escala do eixo. Exemplos de atualizações aplicáveis incluem: Alterar o tamanho ou posicionamento do widget Adicionando ou removendo parâmetros de widget	widgetId
databrickssql	updateDashboard	Um usuário faz uma atualização em uma propriedade do painel. Exclui alterações de programar e inscrição. Exemplos de atualizações aplicáveis incluem: Alteração no nome do painel Mudança para o SQL warehouse Alterar para configurações de execução como	dashboardId
databrickssql	updateOrganizationSetting	Um administrador workspace faz atualizações nas configurações SQL do workspace .	has_configured_data_access has_explored_sql_warehouses has_granted_permissions
databrickssql	updateQuery	Um usuário faz uma atualização em uma query.	queryId
databrickssql	updateQueryDraft	Um usuário atualiza um rascunho query .	queryId
databrickssql	updateQuerySnippet	Um usuário atualiza um snippet query .	querySnippetId
databrickssql	updateVisualization	Um usuário atualiza uma visualização no Editor SQL ou no painel.	visualizationId

eventos DBFS

As tabelas a seguir incluem logs de eventos dbfs no nível do workspace .

Existem dois tipos de eventos DBFS: chamadas de API e eventos operacionais.

Eventos da API do DBFS

Os seguintes eventos de auditoria do DBFS são logs somente quando gravados por meio da API REST do DBFS.

Serviço	Ação	Descrição	Solicitar parâmetros
dbfs	addBlock	O usuário anexa um bloco de dados à transmissão. Isso é usado em conjunto com dbfs/create para transmissão de dados para DBFS.	handle data_length
dbfs	create	O usuário abre uma transmissão para gravar um arquivo nos DBFs.	path bufferSize overwrite
dbfs	delete	O usuário exclui o arquivo ou diretório dos DBFs.	recursive path
dbfs	mkdirs	O usuário cria um novo diretório DBFS.	path
dbfs	move	O usuário move um arquivo de um local para outro dentro dos DBFs.	dst source_path src destination_path
dbfs	put	O usuário upload um arquivo por meio do uso de postagem de formulário multiparte para DBFs.	path overwrite

Eventos operacionais do DBFS

Os seguintes eventos de auditoria DBFS ocorrem no plano compute .

Serviço	Ação	Descrição	Solicitar parâmetros
dbfs	mount	O usuário cria um ponto de montagem em um determinado local do DBFS.	mountPoint owner
dbfs	unmount	O usuário remove um ponto de montagem em um determinado local do DBFS.	mountPoint

Eventos de oleodutos Delta

Serviço	Ação	Descrição	Solicitar parâmetros
deltaPipelines	changePipelineAcls	Um usuário altera permissões em um pipeline.	shardId targetUserId resourceId aclPermissionSet
deltaPipelines	create	Um usuário cria um pipeline Delta Live Tables.	allow_duplicate_names clusters configuration continuous development dry_run id libraries name storage target channel edition photon
deltaPipelines	delete	Um usuário exclui um pipeline Delta Live Tables.	pipeline_id
deltaPipelines	edit	Um usuário edita um pipeline Delta Live Tables.	allow_duplicate_names clusters configuration continuous development expected_last_modified id libraries name pipeline_id storage target channel edition photon
deltaPipelines	startUpdate	Um usuário reinicia um pipeline Delta Live Tables.	cause full_refresh job_task pipeline_id
deltaPipelines	stop	Um usuário interrompe um pipeline do Delta Live Tables.	pipeline_id

repositório de recursos eventos

Os seguintes eventos featureStore são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
featureStore	addConsumer	Um consumidor é adicionado ao repositório de recursos.	features job_run notebook
featureStore	addDataSources	Uma fonte de dados é adicionada a uma tabela de recursos.	feature_table paths, tables
featureStore	addProducer	Um produtor é adicionado a uma tabela de recursos.	feature_table job_run notebook
featureStore	changeFeatureTableAcl	As permissões são alteradas em uma tabela de recursos.	aclPermissionSet resourceId shardName targetUserId
featureStore	createFeatureTable	Uma tabela de recursos é criada.	description name partition_keys primary_keys timestamp_keys
featureStore	createFeatures	recurso são criados em uma tabela de recursos.	feature_table features
featureStore	deleteFeatureTable	Uma tabela de recursos é excluída.	name
featureStore	deleteTags	Tags são deletadas de uma tabela de recursos.	feature_table_id keys
featureStore	getConsumers	Um usuário faz uma chamada para obter os consumidores em uma tabela de recursos.	feature_table
featureStore	getFeatureTable	Um usuário faz uma chamada para obter tabelas de recursos.	name
featureStore	getFeatureTablesById	Um usuário faz uma chamada para obter IDs de tabelas de recursos.	ids
featureStore	getFeatures	Um usuário faz uma chamada para obter recurso.	feature_table max_results
featureStore	getModelServingMetadata	Um usuário faz uma chamada para obter metadados de modelo prático.	feature_table_features
featureStore	getOnlineStore	Um usuário faz uma ligação para obter detalhes do armazenamento online.	cloud feature_table online_table store_type
featureStore	getTags	Um usuário faz uma chamada para obter tags para uma tabela de recursos.	feature_table_id
featureStore	publishFeatureTable	Uma tabela de recursos é publicada.	cloud feature_table host online_table port read_secret_prefix store_type write_secret_prefix
featureStore	searchFeatureTables	Um usuário procura tabelas de recursos.	max_results page_token text
featureStore	setTags	tags são adicionadas a uma tabela de recursos.	feature_table_id tags
featureStore	updateFeatureTable	Uma tabela de recursos é atualizada.	description name

Eventos da API de arquivos

Os seguintes eventos filesystem são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
filesystem	filesGet	Arquivo downloads do usuário.	path transferredSize
filesystem	filesPut	Arquivo upload do usuário.	path receivedSize
filesystem	filesDelete	O usuário exclui o arquivo.	path
filesystem	filesHead	O usuário obtém informações sobre o arquivo.	path

eventos de gênio

Os seguintes eventos genie são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
genie	databricksAccess	Um pessoal da Databricks está autorizado a aceder a um ambiente de cliente.	duration approver reason authType user

Eventos de credenciais do Git

Os seguintes eventos gitCredentials são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
gitCredentials	getGitCredential	Um usuário obtém credenciais git.	id
gitCredentials	listGitCredentials	Um usuário lista todas as credenciais git	nenhum
gitCredentials	deleteGitCredential	Um usuário exclui uma credencial git.	id
gitCredentials	updateGitCredential	Um usuário atualiza uma credencial git.	id git_provider git_username
gitCredentials	createGitCredential	Um usuário cria uma credencial git.	git_provider git_username

Eventos globais init script

Os seguintes eventos globalInitScripts são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
globalInitScripts	create	Um administrador workspace cria um script de inicialização global.	name position script-SHA256 enabled
globalInitScripts	update	Um administrador workspace atualiza um script de inicialização global.	script_id name position script-SHA256 enabled
globalInitScripts	delete	Um administrador do workspace exclui um script de inicialização global.	script_id

Grupos de eventos

Os eventos groups a seguir são logs no nível do workspace . Essas ações estão relacionadas a grupos ACL herdados. Para ações relacionadas a grupos em nível de conta e de workspace , consulte Eventos de conta e Eventos de conta em nível de conta.

Serviço	Ação	Descrição	Solicitar parâmetros
groups	addPrincipalToGroup	Um administrador adiciona um usuário a um grupo.	user_name parent_name
groups	createGroup	Um administrador cria um grupo.	group_name
groups	getGroupMembers	Um administrador view os membros do grupo.	group_name
groups	getGroups	Um administrador view uma lista de grupos	nenhum
groups	getInheritedGroups	Grupos herdados view de administração	nenhum
groups	removeGroup	Um administrador remove um grupo.	group_name

Eventos IAM role

O seguinte evento iamRole é logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
iamRole	changeIamRoleAcl	Um administrador do espaço de trabalho altera as permissões de uma IAM role.	targetUserId shardName resourceId aclPermissionSet

Eventos de ingestão

O seguinte evento ingestion é logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
ingestion	proxyFileUpload	Um usuário faz upload de um arquivo para o Databricks workspace.	x-databricks-content-length-0 x-databricks-total-files

Eventos do pool de instâncias

Os seguintes eventos instancePools são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
instancePools	changeInstancePoolAcl	Um usuário altera as permissões de um pool de instâncias.	shardName resourceId targetUserId aclPermissionSet
instancePools	create	Um usuário cria um pool de instâncias.	enable_elastic_disk preloaded_spark_versions idle_instance_autotermination_minutes instance_pool_name node_type_id custom_tags max_capacity min_idle_instances aws_attributes
instancePools	delete	Um usuário exclui um pool de instâncias.	instance_pool_id
instancePools	edit	Um usuário edita um pool de instâncias.	instance_pool_name idle_instance_autotermination_minutes min_idle_instances preloaded_spark_versions max_capacity enable_elastic_disk node_type_id instance_pool_id aws_attributes

Eventos Job

Os seguintes eventos jobs são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
jobs	cancel	Uma execução Job é cancelada.	run_id
jobs	cancelAllRuns	Um usuário cancela toda a execução em um Job.	job_id
jobs	changeJobAcl	Um usuário atualiza permissões em um Job.	shardName aclPermissionSet resourceId targetUserId
jobs	create	Um usuário cria um Job.	spark_jar_task email_notifications notebook_task spark_submit_task timeout_seconds libraries name spark_python_task job_type new_cluster existing_cluster_id max_retries schedule run_as
jobs	delete	Um usuário exclui um Job.	job_id
jobs	deleteRun	Um usuário exclui uma execução Job .	run_id
jobs	getRunOutput	Um usuário faz uma chamada de API para obter uma saída de execução.	run_id is_from_webapp
jobs	repairRun	Um usuário repara uma execução Job .	run_id latest_repair_id rerun_tasks
jobs	reset	Um Job é Reset.	job_id new_settings
jobs	resetJobAcl	Um usuário solicita a alteração das permissões de um Job .	grants job_id
jobs	runCommand	Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após um comando em um Notebook ser executado por uma execução Job . Um comando corresponde a uma célula em um Notebook.	jobId runId notebookId executionTime status commandId commandText
jobs	runFailed	Uma execução Job falha.	jobClusterType jobTriggerType jobId jobTaskType runId jobTerminalState idInJob orgId runCreatorUserName
jobs	runNow	Um usuário aciona uma execução Job sob demanda.	notebook_params job_id jar_params workflow_context
jobs	runStart	Emitido quando uma execução Job começa após a validação e criação de clusters. Os parâmetros de solicitação emitidos a partir deste evento dependem do tipo de tarefa do Job. Além dos parâmetros listados, eles podem incluir: dashboardId (para uma tarefa do painel SQL) filePath (para uma tarefa de arquivo SQL) notebookPath (para uma tarefa Notebook ) mainClassName (para uma tarefa Spark JAR) pythonFile (para uma tarefa Spark JAR) projectDirectory (para uma tarefa dbt) commands (para uma tarefa dbt) packageName (para uma tarefa de Python wheel) entryPoint (para uma tarefa de Python wheel) pipelineId (para uma tarefa de pipeline) queryIds (para uma tarefa query SQL) alertId (para uma tarefa de alerta SQL)	taskDependencies multitaskParentRunId orgId idInJob jobId jobTerminalState taskKey jobTriggerType jobTaskType runId runCreatorUserName
jobs	runSucceeded	Uma execução Job foi bem-sucedida.	idInJob jobId jobTriggerType orgId runId jobClusterType jobTaskType jobTerminalState runCreatorUserName
jobs	runTriggered	Um programador Job é acionado automaticamente de acordo com seu programar ou gatilho.	jobId jobTriggeredType runId
jobs	sendRunWebhook	Um webhook é enviado quando o Job é iniciado, concluído ou falha.	orgId jobId jobWebhookId jobWebhookEvent runId
jobs	setTaskValue	Um usuário define valores para uma tarefa.	run_id key
jobs	submitRun	Um usuário envia uma execução única por meio da API.	shell_command_task run_name spark_python_task existing_cluster_id notebook_task timeout_seconds libraries new_cluster spark_jar_task
jobs	update	Um usuário edita as configurações de um Job .	job_id fields_to_remove new_settings is_from_dlt

Eventos do consumidor do mercado

Os seguintes eventos marketplaceConsumer são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
marketplaceConsumer	getDataProduct	Um usuário obtém acesso a um produto de dados por meio do Databricks Marketplace.	listing_id listing_name share_name catalog_name request_context: Matriz de informações sobre a account e o metastore que obtiveram acesso ao produto de dados
marketplaceConsumer	requestDataProduct	Um usuário solicita acesso a um produto de dados que requer aprovação do fornecedor.	listing_id listing_name catalog_name request_context: Matriz de informações sobre a account e o metastore solicitando acesso ao produto de dados

Eventos do provedor de mercado

Os seguintes eventos marketplaceProvider são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
marketplaceProvider	createListing	Um administrador do metastore cria uma listagem em seu perfil de provedor.	listing: Matriz de detalhes sobre a listagem request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	updateListing	Um administrador do metastore atualiza uma listagem em seu perfil de provedor.	id listing: Matriz de detalhes sobre a listagem request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	deleteListing	Um administrador do metastore exclui uma listagem em seu perfil de provedor.	id request_context: Matriz de detalhes sobre a account e o metastore do provedor
marketplaceProvider	updateConsumerRequestStatus	Os administradores do metastore aprovam ou negam uma solicitação de produto de dados.	listing_id request_id status reason share: Matriz de informações sobre o compartilhamento request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	createProviderProfile	Um administrador do metastore cria um perfil de provedor.	provider: Array de informações sobre o provedor request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	updateProviderProfile	Um administrador do metastore faz uma atualização no perfil do provedor.	id provider: Array de informações sobre o provedor request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	deleteProviderProfile	Um administrador do metastore exclui seu perfil de provedor.	id request_context: Matriz de informações sobre a account e o metastore do provedor
marketplaceProvider	uploadFile	Um provedor upload um arquivo em seu perfil de provedor.	request_context: Matriz de informações sobre a account e o metastore do provedor marketplace_file_type display_name mime_type file_parent: Matriz de detalhes do pai do arquivo
marketplaceProvider	deleteFile	Um provedor exclui um arquivo do seu perfil de provedor.	file_id request_context: Matriz de informações sobre a account e o metastore do provedor

Artefatos MLflow com eventos ACL

Os seguintes eventos mlflowAcledArtifact são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
mlflowAcledArtifact	readArtifact	Um usuário faz uma chamada para ler um artefato.	artifactLocation experimentId runId
mlflowAcledArtifact	writeArtifact	Um usuário faz uma chamada para gravar em um artefato.	artifactLocation experimentId runId

Eventos de experimento do MLflow

Os seguintes eventos mlflowExperiment são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
mlflowExperiment	createMlflowExperiment	Um usuário cria um experimento MLflow.	experimentId path experimentName
mlflowExperiment	deleteMlflowExperiment	Um usuário exclui um experimento do MLflow.	experimentId path experimentName
mlflowExperiment	moveMlflowExperiment	Um usuário move um experimento MLflow.	newPath experimentId oldPath
mlflowExperiment	restoreMlflowExperiment	Um usuário restaura um experimento MLflow.	experimentId path experimentName
mlflowExperiment	renameMlflowExperiment	Um usuário renomeia um experimento MLflow.	oldName newName experimentId parentPath

Eventos de MLflow Model Registry

Os seguintes eventos mlflowModelRegistry são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
modelRegistry	approveTransitionRequest	Um usuário aprova uma solicitação de transição de estágio de versão de modelo.	name version stage archive_existing_versions
modelRegistry	changeRegisteredModelAcl	Um usuário atualiza as permissões de um modelo registrado.	registeredModelId userId
modelRegistry	createComment	Um usuário publica um comentário sobre uma versão do modelo.	name version
modelRegistry	createModelVersion	Um usuário cria uma versão do modelo.	name source run_id tags run_link
modelRegistry	createRegisteredModel	Um usuário cria um novo modelo registrado	name tags
modelRegistry	createRegistryWebhook	O usuário cria um webhook para eventos do Model Registry.	orgId registeredModelId events description status creatorId httpUrlSpec
modelRegistry	createTransitionRequest	Um usuário cria uma solicitação de transição de estágio de versão de modelo.	name version stage
modelRegistry	deleteComment	Um usuário exclui um comentário em uma versão de modelo.	id
modelRegistry	deleteModelVersion	Um usuário exclui uma versão do modelo.	name version
modelRegistry	deleteModelVersionTag	Um usuário exclui tags de versão de modelo.	name version key
modelRegistry	deleteRegisteredModel	Um usuário exclui um modelo registrado	name
modelRegistry	deleteRegisteredModelTag	Um usuário exclui as tags de um modelo registrado.	name key
modelRegistry	deleteRegistryWebhook	O usuário exclui um webhook Model Registry .	orgId webhookId
modelRegistry	deleteTransitionRequest	Um usuário cancela uma solicitação de transição de estágio de versão de modelo.	name version stage creator
modelRegistry	finishCreateModelVersionAsync	Cópia de modelo assíncrono concluída.	name version
modelRegistry	generateBatchInferenceNotebook	inferência de lotes Notebook é gerado automaticamente.	userId orgId modelName inputTableOpt outputTablePathOpt stageOrVersion modelVersionEntityOpt notebookPath
modelRegistry	generateDltInferenceNotebook	O Inference Notebook para um pipeline Delta Live Tables é gerado automaticamente.	userId orgId modelName inputTable outputTable stageOrVersion notebookPath
modelRegistry	getModelVersionDownloadUri	Um usuário obtém um URI para downloads a versão do modelo.	name version
modelRegistry	getModelVersionSignedDownloadUri	Um usuário obtém um URI para downloads uma versão de modelo assinada.	name version path
modelRegistry	listModelArtifacts	Um usuário faz uma chamada para listar os artefatos de um modelo.	name version path page_token
modelRegistry	listRegistryWebhooks	Um usuário faz uma chamada para listar todos os webhooks de registro no modelo.	orgId registeredModelId
modelRegistry	rejectTransitionRequest	Um usuário rejeita uma solicitação de transição de estágio de versão de modelo.	name version stage
modelRegistry	renameRegisteredModel	Um usuário renomeia um modelo registrado	name new_name
modelRegistry	setEmailSubscriptionStatus	Um usuário atualiza o status de inscrição email para um modelo registrado
modelRegistry	setModelVersionTag	Um usuário define tags de versão de modelo.	name version key value
modelRegistry	setRegisteredModelTag	Um usuário define tags de versão de modelo.	name key value
modelRegistry	setUserLevelEmailSubscriptionStatus	Um usuário atualiza o status das notificações email para todo o registro.	orgId userId subscriptionStatus
modelRegistry	testRegistryWebhook	Um usuário testa o webhook do Model Registry.	orgId webhookId
modelRegistry	transitionModelVersionStage	Um usuário obtém uma lista de todas as solicitações de transição de estágio aberto para a versão do modelo.	name version stage archive_existing_versions
modelRegistry	triggerRegistryWebhook	Um webhook do Model Registry é acionado por um evento.	orgId registeredModelId events status
modelRegistry	updateComment	Um usuário publica uma edição em um comentário sobre uma versão de modelo.	id
modelRegistry	updateRegistryWebhook	Um usuário atualiza um webhook do Model Registry.	orgId webhookId

Modelar eventos de veiculação

Os seguintes eventos serverlessRealTimeInference são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
serverlessRealTimeInference	changeInferenceEndpointAcl	O usuário atualiza permissões para um endpoint de inferência.	shardName targetUserId resourceId aclPermissionSet
serverlessRealTimeInference	createServingEndpoint	O usuário cria um endpoint de modelo de atividade.	name config
serverlessRealTimeInference	deleteServingEndpoint	O usuário exclui um endpoint de modelo de atividade.	name
serverlessRealTimeInference	disable	O usuário desativa o modelo de atividade para um modelo cadastrado.	registered_mode_name
serverlessRealTimeInference	enable	O usuário habilita o modelo de navegação para um modelo cadastrado.	registered_mode_name
serverlessRealTimeInference	getQuerySchemaPreview	Os usuários fazem uma chamada para obter a visualização do esquema query .	endpoint_name
serverlessRealTimeInference	updateServingEndpoint	O usuário atualiza um endpoint de modelo de atividade.	name served_models traffic_config

eventos Notebook

Os seguintes eventos notebook são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
notebook	attachNotebook	Um Notebook é anexado a clusters.	path clusterId notebookId
notebook	cloneNotebook	Um usuário clona um Notebook.	notebookId path clonedNotebookId destinationPath
notebook	createNotebook	Um Notebook é criado.	notebookId path
notebook	deleteFolder	Uma pasta Notebook é excluída.	path
notebook	deleteNotebook	Um Notebook é excluído.	notebookId notebookName path
notebook	detachNotebook	Um Notebook é separado de clusters.	notebookId clusterId path
notebook	downloadLargeResults	Um usuário downloads resultados query muito grandes para serem exibidos no Notebook.	notebookId notebookFullPath
notebook	downloadPreviewResults	Um usuário downloads os resultados query .	notebookId notebookFullPath
notebook	importNotebook	Um usuário importa um Notebook.	path
notebook	moveFolder	Uma pasta Notebook é movida de um local para outro.	oldPath newPath folderId
notebook	moveNotebook	Um Notebook é movido de um local para outro.	newPath oldPath notebookId
notebook	renameNotebook	Um Notebook foi renomeado.	newName oldName parentPath notebookId
notebook	restoreFolder	Uma pasta excluída é restaurada.	path
notebook	restoreNotebook	Um Notebook excluído é restaurado.	path notebookId notebookName
notebook	runCommand	Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após o Databricks executar um comando em um Notebook. Um comando corresponde a uma célula em um Notebook. executionTime é medido em segundos.	notebookId executionTime status commandId commandText commandLanguage
notebook	takeNotebookSnapshot	Notebook Snapshot são obtidos quando o Job serviço ou o mlflow são executados.	path

Partner Connect eventos

Os seguintes eventos partnerHub são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
partnerHub	createOrReusePartnerConnection	Um administrador do espaço de trabalho configura uma conexão com parceiros soluções.	partner_name
partnerHub	deletePartnerConnection	Um administrador do espaço de trabalho exclui uma conexão de parceiros.	partner_name
partnerHub	downloadPartnerConnectionFile	Um administrador do espaço de trabalho downloads o arquivo de conexão de parceiros.	partner_name
partnerHub	setupResourcesForPartnerConnection	Um administrador do espaço de trabalho configura recurso para uma conexão de parceiros.	partner_name

Eventos de serviço de histórico remoto

Os seguintes eventos remoteHistoryService são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
remoteHistoryService	addUserGitHubCredentials	O usuário adiciona credenciais do Github	nenhum
remoteHistoryService	deleteUserGitHubCredentials	O usuário remove as credenciais do Github	nenhum
remoteHistoryService	updateUserGitHubCredentials	O usuário atualiza as credenciais do Github	nenhum

Eventos da pasta Git

Os seguintes eventos repos são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
repos	checkoutBranch	Um usuário faz check-out de uma ramificação no repo.	id branch
repos	commitAndPush	Um usuário commit e envia para um repo.	id message files checkSensitiveToken
repos	createRepo	Um usuário cria um repositório no workspace	url provider path
repos	deleteRepo	Um usuário exclui um repo.	id
repos	discard	Um usuário descarta um commit para um repo.	id file_paths
repos	getRepo	Um usuário faz uma chamada para obter informações sobre um único repo.	id
repos	listRepos	Um usuário faz uma chamada para obter todos repo para os quais possui permissões de gerenciamento.	path_prefix next_page_token
repos	pull	Um usuário extrai o commit mais recente de um repo.	id
repos	updateRepo	Um usuário atualiza o repo para um branch ou tags diferentes ou para o commit mais recente no mesmo branch.	id branch tag git_url git_provider

Eventos secretos

Os seguintes eventos secrets são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
secrets	createScope	O usuário cria um Secret Scope.	scope initial_manage_principal scope_backend_type
secrets	deleteAcl	O usuário exclui ACLs para um Secret Scope.	scope principal
secrets	deleteScope	O usuário exclui um Secret Scope.	scope
secrets	deleteSecret	O usuário exclui um segredo de um escopo.	key scope
secrets	getAcl	O usuário obtém ACLs para um Secret Scope.	scope principal
secrets	getSecret	O usuário obtém um segredo de um escopo.	key scope
secrets	listAcls	O usuário faz uma chamada para listar ACLs para um Secret Scope.	scope
secrets	listScopes	O usuário faz uma chamada para listar Secret Scope	nenhum
secrets	listSecrets	O usuário faz uma chamada para listar segredos dentro de um escopo.	scope
secrets	putAcl	O usuário altera ACLs para um Secret Scope.	scope principal permission
secrets	putSecret	O usuário adiciona ou edita um segredo dentro de um escopo.	string_value key scope

Eventos de acesso à tabela SQL

Observação

O serviço sqlPermissions inclui eventos relacionados ao controle de acesso herdado Hive metastore da tabela. Databricks recomenda que você atualize as tabelas gerenciadas pelo Hive metastore para o metastore Unity Catalog .

Os seguintes eventos sqlPermissions são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
sqlPermissions	changeSecurableOwner	administrador workspace ou proprietário de um objeto transfere a propriedade do objeto.	securable principal
sqlPermissions	createSecurable	O usuário cria um objeto protegível.	securable
sqlPermissions	denyPermission	O proprietário do objeto nega privilégios em um objeto protegível.	permission
sqlPermissions	grantPermission	O proprietário do objeto concede permissão em um objeto protegido.	permission
sqlPermissions	removeAllPermissions	O usuário descarta um objeto protegível.	securable
sqlPermissions	renameSecurable	O usuário renomeia um objeto protegível.	before after
sqlPermissions	requestPermissions	O usuário solicita permissões em um objeto protegível.	requests
sqlPermissions	revokePermission	O proprietário do objeto revoga permissões em seu objeto protegido.	permission
sqlPermissions	showPermissions	Permissões de objetos protegíveis view do usuário.	securable principal

eventos SSH

Os seguintes eventos ssh são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
ssh	login	Login do agente SSH no driver Spark.	containerId userName port publicKey instanceId
ssh	logout	Logout do agente do SSH do driver Spark.	userName containerId instanceId

eventos de terminal da web

Os seguintes eventos webTerminal são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
webTerminal	startSession	O usuário inicia sessões de terminal web.	socketGUID clusterId serverPort ProxyTargetURI
webTerminal	closeSession	O usuário fecha uma sessão de terminal web.	socketGUID clusterId serverPort ProxyTargetURI

Eventos do espaço de trabalho

Os seguintes eventos workspace são logs no nível do workspace .

Serviço	Nome da ação	Descrição	Solicitar parâmetros
workspace	changeWorkspaceAcl	As permissões para o workspace são alteradas.	shardName targetUserId aclPermissionSet resourceId
workspace	deleteSetting	Uma configuração é excluída do workspace.	settingKeyTypeName settingKeyName settingTypeName settingName
workspace	fileCreate	O usuário cria um arquivo no workspace.	path
workspace	fileDelete	O usuário exclui um arquivo no workspace.	path
workspace	fileEditorOpenEvent	O usuário abre o editor de arquivos.	notebookId path
workspace	getRoleAssignment	O usuário obtém as funções de usuário de um workspace.	account_id workspace_id
workspace	mintOAuthAuthorizationCode	Registrado quando o código de autorização OAuth interno é criado no nível do workspace .	client_id
workspace	mintOAuthToken	tokens OAuth são criados para workspace.	grant_type scope expires_in client_id
workspace	moveWorkspaceNode	Um administrador workspace move o nó workspace .	destinationPath path
workspace	purgeWorkspaceNodes	Um administrador workspace limpa os nós workspace .	treestoreId
workspace	reattachHomeFolder	Um pasta home existente é reanexado para um usuário que é adicionado novamente ao workspace.	path
workspace	renameWorkspaceNode	Um administrador workspace renomeia os nós workspace .	path destinationPath
workspace	unmarkHomeFolder	Os atributos especiais do pasta home são removidos quando um usuário é removido do workspace.	path
workspace	updateRoleAssignment	Um administrador do workspace atualiza a função de um usuário do workspace.	account_id workspace_id principal_id
workspace	setSetting	Um administrador workspace define uma configuração workspace .	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
workspace	workspaceConfEdit	O administrador do workspace faz atualizações em uma configuração, por exemplo, habilitando logs de auditoria detalhados.	workspaceConfKeys workspaceConfValues
workspace	workspaceExport	O usuário exporta um Notebook de um workspace.	workspaceExportDirectDownload workspaceExportFormat notebookFullPath
workspace	workspaceInHouseOAuthClientAuthentication	O cliente OAuth é autenticado no serviço de workspace .	user

Eventos de uso faturáveis

Os seguintes eventos accountBillableUsage são logs no nível da account .

Serviço	Ação	Descrição	Solicitar parâmetros
accountBillableUsage	getAggregatedUsage	O usuário acessou o uso faturável agregado (uso por dia) da account por meio do recurso Uso gráfico.	account_id window_size start_time end_time meter_name workspace_ids_filter
accountBillableUsage	getDetailedUsage	O usuário acessou o uso faturável detalhado (uso para cada clusters) da account por meio do recurso downloads de uso.	account_id start_month end_month with_pii

Eventos de conta no nível da conta

Os seguintes eventos accounts são logs no nível da account .

Serviço	Ação	Descrição	Solicitar parâmetros
accounts	accountInHouseOAuthClientAuthentication	Um cliente OAuth é autenticado.	endpoint
accounts	accountIpAclsValidationFailed	A validação das permissões de IP falha. Retorna statusCode 403.	sourceIpAddress user: logs como um endereço email
accounts	activateUser	Um usuário é reativado após ser desativado. Consulte Desativar usuários na account.	targetUserName endpoint targetUserId
accounts	add	Um usuário é adicionado à account do Databricks.	targetUserName endpoint targetUserId
accounts	addPrincipalToGroup	Um usuário é adicionado a um grupo no nível account .	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	addPrincipalsToGroup	Os usuários são adicionados a um grupo no nível accountusando o provisionamento SCIM.	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	createGroup	Um grupo no nível accounté criado.	endpoint targetGroupId targetGroupName
accounts	deactivateUser	Um usuário está desativado. Consulte Desativar usuários na account.	targetUserName endpoint targetUserId
accounts	delete	Um usuário é excluído da account do Databricks.	targetUserId targetUserName endpoint
accounts	deleteSetting	o administrador account remove uma configuração da account do Databricks.	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	garbageCollectDbToken	Um usuário executa um comando de coleta de lixo em tokens expirados.	tokenExpirationTime tokenClientId userId tokenCreationTime tokenFirstAccessed
accounts	generateDbToken	O usuário gera tokens nas Configurações do usuário ou quando o serviço gera os tokens.	tokenExpirationTime tokenCreatedBy tokenHash userId
accounts	login	Um usuário logs no console account .	user
accounts	logout	Um usuário logs logout do console account .	user
accounts	mintOAuthAuthorizationCode	Registrado quando o código de autorização OAuth interno é emitido no nível account .	client_id
accounts	mintOAuthToken	accountUm OAuth tokens no nível é emitido para a entidade de serviço.	user
accounts	oidcBrowserLogin	Um usuário logs em sua account com o fluxo de trabalho do navegador OpenID Connect.	user
accounts	oidcTokenAuthorization	Um tokens OIDC é autenticado para um login de administrador account .	user
accounts	passwordVerifyAuthentication	A senha de um usuário é verificada durante o login no console account .	user
accounts	removeAccountAdmin	Um administrador account remove permissões de administrador account de outro usuário.	targetUserName endpoint targetUserId
accounts	removeGroup	Um grupo é removido da account.	targetGroupId targetGroupName endpoint
accounts	removePrincipalFromGroup	Um usuário é removido de um grupo no nível account .	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	removePrincipalsFromGroup	Os usuários são removidos de um grupo no nível accountusando o provisionamento SCIM.	targetGroupId endpoint targetUserId targetGroupName targetUserName
accounts	setAccountAdmin	Um administrador account atribui a função de administrador account a outro usuário.	targetUserName endpoint targetUserId
accounts	setSetting	Um administrador account atualiza uma configuração no nível account .	settingKeyTypeName settingKeyName settingTypeName settingName settingValueForAudit
accounts	tokenLogin	Um usuário logs no Databricks usando tokens.	tokenId user
accounts	updateUser	Um administrador account atualiza uma account de usuário.	targetUserName endpoint targetUserId
accounts	updateGroup	Um administrador account atualiza um grupo em nível de account .	endpoint targetGroupId targetGroupName
accounts	validateEmail	Quando um usuário valida seu email após a criação account .	endpoint targetUserName targetUserId

Eventos de controle de acesso no nível da conta

O seguinte evento accountsAccessControl é logs no nível account .

Serviço	Ação	Descrição	Solicitar parâmetros
accountsAccessControl	updateRuleSet	Quando um conjunto de regras é alterado.	account_id name rule_set

Eventos de gerenciamento de conta

Os seguintes eventos accountsManager são logs no nível da account . Esses eventos têm a ver com as configurações feitas pelos administradores account no console account .

Serviço	Ação	Descrição	Solicitar parâmetros
accountsManager	acceptTos	O administrador aceita os termos de serviço de um workspace.	workspace_id
accountsManager	accountUserResetPassword	account admin Reset a senha de um usuário. Também logs se o usuário alterou a senha após Reset.	wasPasswordChanged serviceSource targetUserId userId newPasswordSource
accountsManager	changeAccountOwner	a função de proprietário account é transferida para outro administrador account .	account_id first_name last_name email
accountsManager	consolidateAccounts	A account foi consolidada com outra account da Databricks.	target_account_id account_ids_to_consolidate
accountsManager	createCredentialsConfiguration	o administrador account criou uma configuração de credenciais.	credentials
accountsManager	createCustomerManagedKeyConfiguration	o administrador account criou uma configuração key gerenciada pelo cliente.	customer_managed_key
accountsManager	createNetworkConfiguration	o administrador account criou uma configuração de rede.	network
accountsManager	createPrivateAccessSettings	o administrador account criou uma configuração de configurações de acesso privado.	private_access_settings
accountsManager	createStorageConfiguration	o administrador account criou uma configuração de armazenamento.	storage_configuration
accountsManager	createVpcEndpoint	o administrador account criou uma configuração de endpoint VPC.	vpc_endpoint
accountsManager	createWorkspaceConfiguration	o administrador account cria um novo workspace. O parâmetro de solicitação workspace é uma matriz de informações de implantação, incluindo workspace_name. Você pode encontrar o workspace_id no parâmetro response.result .	workspace
accountsManager	deleteCredentialsConfiguration	o administrador account excluiu uma configuração de credenciais.	account_id credentials_id
accountsManager	deleteCustomerManagedKeyConfiguration	o administrador account excluiu uma configuração key gerenciada pelo cliente.	account_id customer_managed_key_id
accountsManager	deleteNetworkConfiguration	o administrador account excluiu uma configuração de rede.	account_id network_id
accountsManager	deletePrivateAccessSettings	o administrador account excluiu uma configuração de configurações de acesso privado.	account_id private_access_settings_id
accountsManager	deleteStorageConfiguration	o administrador account excluiu uma configuração de armazenamento.	account_id storage_configuration_id
accountsManager	deleteVpcEndpoint	o administrador account excluiu uma configuração do VPC endpoint.	account_id vpc_endpoint_id
accountsManager	deleteWorkspaceConfiguration	o administrador account excluiu um workspace.	account_id workspace_id
accountsManager	getCredentialsConfiguration	o administrador account solicita detalhes sobre uma configuração de credenciais.	account_id credentials_id
accountsManager	getCustomerManagedKeyConfiguration	o administrador account solicita detalhes sobre uma configuração key gerenciada pelo cliente.	account_id customer_managed_key_id
accountsManager	getNetworkConfiguration	o administrador account solicita detalhes sobre uma configuração de rede.	account_id network_id
accountsManager	getPrivateAccessSettings	o administrador account solicita detalhes sobre uma configuração de configurações de acesso privado.	account_id private_access_settings_id
accountsManager	getStorageConfiguration	o administrador account solicita detalhes sobre uma configuração de armazenamento.	account_id storage_configuration_id
accountsManager	getVpcEndpoint	o administrador account solicita detalhes sobre uma configuração de VPC endpoint.	account_id vpc_endpoint_id
accountsManager	getWorkspaceConfiguration	o administrador account solicita detalhes sobre um workspace.	account_id workspace_id
accountsManager	listCredentialsConfigurations	account admin lista todas as configurações de credenciais na account.	account_id
accountsManager	listCustomerManagedKeyConfigurations	o administrador account lista todas as configurações key gerenciadas pelo cliente na account.	account_id
accountsManager	listNetworkConfigurations	account admin lista todas as configurações de rede na account.	account_id
accountsManager	listPrivateAccessSettings	O administrador account lista todas as configurações de acesso privado na account.	account_id
accountsManager	listStorageConfigurations	o administrador account lista todas as configurações de armazenamento na account.	account_id
accountsManager	listSubscriptions	administrador account lista todas as inscrições de faturamento account .	account_id
accountsManager	listVpcEndpoints	O administrador account listou todas as configurações do VPC endpoint da account.	account_id
accountsManager	listWorkspaceConfigurations	o administrador account lista todos os workspace da account.	account_id
accountsManager	listWorkspaceEncryptionKeyRecords	o administrador account lista todos os registros key de criptografia em um workspace específico.	account_id workspace_id
accountsManager	listWorkspaceEncryptionKeyRecordsForAccount	o administrador account lista todos os registros key de criptografia na account.	account_id
accountsManager	sendTos	Um email foi enviado a um administrador workspace para aceitar os Termos de serviço do Databricks.	account_id workspace_id
accountsManager	updateAccount	Os detalhes account foram alterados internamente.	account_id account
accountsManager	updateSubscription	As inscrições de faturamento account foram atualizadas.	account_id subscription_id subscription
accountsManager	updateWorkspaceConfiguration	O administrador atualizou a configuração de um workspace.	account_id workspace_id

logs eventos de entrega

Os seguintes eventos logDelivery são logs no nível da account .

Serviço	Ação	Descrição	Solicitar parâmetros
logDelivery	createLogDeliveryConfiguration	O administrador criou uma configuração de entrega logs .	account_id config_id
logDelivery	getLogDeliveryConfiguration	O administrador solicitou detalhes sobre uma configuração de entrega logs .	log_delivery_configuration
logDelivery	listLogDeliveryConfigurations	O administrador listou todas as configurações de entrega de logs na account.	account_id storage_configuration_id credentials_id status
logDelivery	updateLogDeliveryConfiguration	O administrador atualizou uma configuração de entrega logs .	config_id account_id status

Eventos SSO Oauth

Os eventos oauth2 a seguir são logs no nível account e estão relacionados à autenticação OAuth SSO no console account .

Serviço	Ação	Descrição	Solicitar parâmetros
oauth2	createCustomAppIntegration	Um administrador workspace cria integração personalizada de aplicativos.	redirect_url name token_access_policy confidential
oauth2	createPublishedAppIntegration	Um administrador do workspace cria uma integração de aplicativos usando uma integração de aplicativos publicada.	app_id
oauth2	deleteCustomAppIntegration	Um administrador do workspace exclui a integração de aplicativos personalizados.	integration_id
oauth2	deletePublishedAppIntegration	Um administrador do workspace exclui a integração de aplicativos publicados.	integration_id
oauth2	enrollOAuth	Um administrador workspace inscreve account no OAuth.	enable_all_published_apps
oauth2	updateCustomAppIntegration	Um administrador workspace atualiza a integração de aplicativos personalizados.	redirect_url name token_access_policy confidential
oauth2	updatePublishedAppIntegration	Um administrador workspace atualiza a integração de aplicativos publicados.	token_access_policy

Eventos de credenciais da entidade de serviço (visualização pública)

Os seguintes eventos servicePrincipalCredentials são logs no nível da account .

Serviço	Ação	Descrição	Solicitar parâmetros
servicePrincipalCredentials	create	o administrador account gera um segredo OAuth para a entidade de serviço.	account_id service_principal secret_id
servicePrincipalCredentials	list	o administrador account lista todos os segredos do OAuth em uma entidade de serviço.	account_id service_principal
servicePrincipalCredentials	delete	o administrador account exclui o segredo OAuth de uma entidade de serviço.	account_id service_principal secret_id

Eventos de logon único

Os seguintes eventos ssoConfigBackend são logs no nível account e estão relacionados à autenticação SSO para o console account .

Serviço	Ação	Descrição	Solicitar parâmetros
ssoConfigBackend	create	o administrador account criou uma configuração de SSO do console account .	account_id sso_type config
ssoConfigBackend	get	o administrador account solicitou detalhes sobre uma configuração de SSO do console account .	account_id sso_type
ssoConfigBackend	update	o administrador account atualizou uma configuração de SSO do console account .	account_id sso_type config

Eventos Unity Catalog

Os seguintes eventos de auditoria estão relacionados ao Unity Catalog. Os eventos do Delta Sharing também são registros no serviço unityCatalog. Para eventos Delta Sharing, consulte eventosDelta Sharing . Os eventos de auditoria do Unity Catalog podem ser registrados no nível workspace ou no nível account, dependendo do evento.

Serviço	Ação	Descrição	Solicitar parâmetros
unityCatalog	createMetastore	o administrador account cria um metastore.	name storage_root workspace_id metastore_id
unityCatalog	getMetastore	o administrador account solicita o ID do metastore.	id workspace_id metastore_id
unityCatalog	getMetastoreSummary	o administrador account solicita detalhes sobre um metastore.	workspace_id metastore_id
unityCatalog	listMetastores	o administrador account solicita uma lista de todos os meta-lojas em uma account.	workspace_id
unityCatalog	updateMetastore	o administrador account faz uma atualização em um metastore.	id owner workspace_id metastore_id
unityCatalog	deleteMetastore	o administrador account exclui um metastore.	id force workspace_id metastore_id
unityCatalog	updateMetastoreAssignment	o administrador account faz uma atualização na atribuição workspace de um metastore.	workspace_id metastore_id default_catalog_name
unityCatalog	createExternalLocation	o administrador account cria um local externo.	name skip_validation url credential_name workspace_id metastore_id
unityCatalog	getExternalLocation	o administrador account solicita detalhes sobre um local externo.	name_arg include_browse workspace_id metastore_id
unityCatalog	listExternalLocations	lista de solicitações do administrador account de todos os locais externos em uma account.	url max_results workspace_id metastore_id
unityCatalog	updateExternalLocation	o administrador account faz uma atualização para um local externo.	name_arg owner workspace_id metastore_id
unityCatalog	deleteExternalLocation	o administrador account exclui um local externo.	name_arg force workspace_id metastore_id
unityCatalog	createCatalog	O usuário cria um catálogo.	name comment workspace_id metastore_id
unityCatalog	deleteCatalog	O usuário exclui um catálogo.	name_arg workspace_id metastore_id
unityCatalog	getCatalog	O usuário solicita detalhes sobre um catálogo.	name_arg dependent workspace_id metastore_id
unityCatalog	updateCatalog	O usuário atualiza um catálogo.	name_arg isolation_mode comment workspace_id metastore_id
unityCatalog	listCatalog	O usuário faz uma chamada para listar todos os catálogos no metastore.	name_arg workspace_id metastore_id
unityCatalog	createSchema	O usuário cria um esquema.	name catalog_name comment workspace_id metastore_id
unityCatalog	deleteSchema	O usuário exclui um esquema.	full_name_arg force workspace_id metastore_id
unityCatalog	getSchema	O usuário solicita detalhes sobre um esquema.	full_name_arg dependent workspace_id metastore_id
unityCatalog	listSchema	O usuário solicita uma lista de todos os esquemas em um catálogo.	catalog_name
unityCatalog	updateSchema	O usuário atualiza um esquema.	full_name_arg name workspace_id metastore_id comment
unityCatalog	createStagingTable		name catalog_name schema_name workspace_id metastore_id
unityCatalog	createTable	O usuário cria uma tabela. Os parâmetros de solicitação diferem dependendo do tipo de tabela criada.	name data_source_format catalog_name schema_name storage_location columns dry_run table_type view_dependencies view_definition sql_path comment
unityCatalog	deleteTable	O usuário exclui uma tabela.	full_name_arg workspace_id metastore_id
unityCatalog	getTable	O usuário solicita detalhes sobre uma tabela.	include_delta_metadata full_name_arg dependent workspace_id metastore_id
unityCatalog	privilegedGetTable		full_name_arg
unityCatalog	listTables	O usuário faz uma chamada para listar todas as tabelas em um esquema.	catalog_name schema_name workspace_id metastore_id include_browse
unityCatalog	listTableSummaries	O usuário obtém uma matriz de resumos de tabelas para um esquema e catálogo dentro do metastore.	catalog_name schema_name_pattern workspace_id metastore_id
unityCatalog	updateTables	O usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam dependendo do tipo de atualização de tabela feita.	full_name_arg table_type table_constraint_list data_source_format columns dependent row_filter storage_location sql_path view_definition view_dependencies owner comment workspace_id metastore_id
unityCatalog	createStorageCredential	o administrador account cria uma credencial de armazenamento. Você pode ver um parâmetro de solicitação adicional com base nas credenciais do seu provedor cloud .	name comment workspace_id metastore_id
unityCatalog	listStorageCredentials	o administrador account faz uma chamada para listar todas as credenciais de armazenamento na account.	workspace_id metastore_id
unityCatalog	getStorageCredential	o administrador account solicita detalhes sobre uma credencial de armazenamento.	name_arg workspace_id metastore_id
unityCatalog	updateStorageCredential	o administrador account faz uma atualização em uma credencial de armazenamento.	name_arg owner workspace_id metastore_id
unityCatalog	deleteStorageCredential	o administrador account exclui uma credencial de armazenamento.	name_arg workspace_id metastore_id
unityCatalog	generateTemporaryTableCredential	logs sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem query o quê e quando.	credential_id credential_type is_permissions_enforcing_client table_full_name operation table_id workspace_id table_url metastore_id
unityCatalog	generateTemporaryPathCredential	logs sempre que uma credencial temporária é concedida para um caminho.	url operation make_path_only_parent workspace_id metastore_id
unityCatalog	getPermissions	O usuário faz uma chamada para obter detalhes de permissão para um objeto protegido. Esta chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente.	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getEffectivePermissions	O usuário faz uma chamada para obter todos os detalhes de permissão de um objeto protegido. Uma chamada de permissões efetiva retorna permissões atribuídas explicitamente e herdadas.	securable_type securable_full_name workspace_id metastore_id
unityCatalog	updatePermissions	O usuário atualiza permissões em um objeto protegível.	securable_type changes securable_full_name workspace_id metastore_id
unityCatalog	metadataSnapshot	O usuário query os metadados de uma versão anterior da tabela.	securables include_delta_metadata workspace_id metastore_id
unityCatalog	metadataAndPermissionsSnapshot	O usuário query os metadados e as permissões de uma versão anterior da tabela.	securables include_delta_metadata workspace_id metastore_id
unityCatalog	updateMetadataSnapshot	O usuário atualiza os metadados de uma versão anterior da tabela.	table_list_snapshots schema_list_snapshots workspace_id metastore_id
unityCatalog	getForeignCredentials	O usuário faz uma chamada para obter detalhes sobre uma key estrangeira.	securables workspace_id metastore_id
unityCatalog	getInformationSchema	O usuário faz uma chamada para obter detalhes sobre um esquema.	table_name page_token required_column_names row_set_type required_column_names workspace_id metastore_id
unityCatalog	createConstraint	O usuário cria uma restrição para uma tabela.	full_name_arg constraint workspace_id metastore_id
unityCatalog	deleteConstraint	O usuário exclui uma restrição de uma tabela.	full_name_arg constraint workspace_id metastore_id
unityCatalog	createPipeline	O usuário cria um pipeline do Unity Catalog.	target_catalog_name has_workspace_definition id workspace_id metastore_id
unityCatalog	updatePipeline	O usuário atualiza um pipeline do Unity Catalog.	id_arg definition_json id workspace_id metastore_id
unityCatalog	getPipeline	O usuário solicita detalhes sobre um pipeline do Unity Catalog.	id workspace_id metastore_id
unityCatalog	deletePipeline	O usuário exclui um pipeline do Unity Catalog.	id workspace_id metastore_id
unityCatalog	deleteResourceFailure	Falha ao excluir o recurso	nenhum
unityCatalog	createVolume	O usuário cria um volume do Unity Catalog.	name catalog_name schema_name volume_type storage_location owner comment workspace_id metastore_id
unityCatalog	getVolume	O usuário faz uma chamada para obter informações sobre um volume do Catálogo do Unity.	volume_full_name workspace_id metastore_id
unityCatalog	updateVolume	O usuário atualiza os metadados de um volume do Unity Catalog com as chamadas ALTER VOLUME ou COMMENT ON .	volume_full_name name owner comment workspace_id metastore_id
unityCatalog	deleteVolume	O usuário exclui um volume do Unity Catalog.	volume_full_name workspace_id metastore_id
unityCatalog	listVolumes	O usuário faz uma chamada para obter uma lista de todos os volumes do Unity Catalog em um esquema.	catalog_name schema_name workspace_id metastore_id
unityCatalog	generateTemporaryVolumeCredential	Uma credencial temporária é gerada quando um usuário executa uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando.	volume_id volume_full_name operation volume_storage_location credential_id credential_type workspace_id metastore_id
unityCatalog	getTagSecurableAssignments	As atribuições de tags para um protegível são buscadas	securable_type securable_full_name workspace_id metastore_id
unityCatalog	getTagSubentityAssignments	As atribuições de tags para uma subentidade são buscadas	securable_type securable_full_name workspace_id metastore_id subentity_name
unityCatalog	UpdateTagSecurableAssignments	As atribuições de tags para um protegível são atualizadas	securable_type securable_full_name workspace_id metastore_id changes
unityCatalog	UpdateTagSubentityAssignments	As atribuições de tags para uma subentidade são atualizadas	securable_type securable_full_name workspace_id metastore_id subentity_name changes
unityCatalog	createRegisteredModel	O usuário cria um modelo registrado no Unity Catalog.	name catalog_name schema_name owner comment workspace_id metastore_id
unityCatalog	getRegisteredModel	O usuário faz uma chamada para obter informações sobre um modelo registrado no Unity Catalog.	full_name_arg workspace_id metastore_id
unityCatalog	updateRegisteredModel	O usuário atualiza os metadados de um modelo registrado no Unity Catalog.	full_name_arg name owner comment workspace_id metastore_id
unityCatalog	deleteRegisteredModel	O usuário exclui um modelo registrado no Unity Catalog.	full_name_arg workspace_id metastore_id
unityCatalog	listRegisteredModels	O usuário faz uma chamada para obter uma lista de modelos registrados no Unity Catalog em um esquema ou listar modelos em catálogos e esquemas.	catalog_name schema_name max_results page_token workspace_id metastore_id
unityCatalog	createModelVersion	O usuário cria uma versão do modelo no Unity Catalog.	catalog_name schema_name model_name source comment workspace_id metastore_id
unityCatalog	finalizeModelVersion	O usuário faz uma chamada para “finalizar” uma versão do modelo do Unity Catalog após fazer upload dos arquivos da versão do modelo para seu local de armazenamento, tornando-o somente leitura e utilizável no fluxo de trabalho de inferência.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersion	O usuário faz uma chamada para obter detalhes sobre uma versão do modelo.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	getModelVersionByAlias	O usuário faz uma chamada para obter detalhes sobre uma versão do modelo usando o alias.	full_name_arg include_aliases alias_arg workspace_id metastore_id
unityCatalog	updateModelVersion	O usuário atualiza os metadados de uma versão do modelo.	full_name_arg version_arg name owner comment workspace_id metastore_id
unityCatalog	deleteModelVersion	O usuário exclui uma versão do modelo.	full_name_arg version_arg workspace_id metastore_id
unityCatalog	listModelVersions	O usuário faz uma chamada para obter uma lista de versões de modelo do Unity Catalog em um modelo registrado.	catalog_name schema_name model_name max_results page_token workspace_id metastore_id
unityCatalog	generateTemporaryModelVersionCredential	Uma credencial temporária é gerada quando um usuário executa uma gravação (durante a criação da versão inicial do modelo) ou leitura (após a finalização da versão do modelo) em uma versão do modelo. Você pode usar esse evento para determinar quem acessou uma versão de modelo e quando.	full_name_arg version_arg operation model_version_url credential_id credential_type workspace_id metastore_id
unityCatalog	setRegisteredModelAlias	O usuário define um alias em um modelo registrado no Unity Catalog.	full_name_arg alias_arg version
unityCatalog	deleteRegisteredModelAlias	O usuário exclui um alias em um modelo registrado no Unity Catalog.	full_name_arg alias_arg
unityCatalog	getModelVersionByAlias	O usuário obtém uma versão do modelo do Unity Catalog por alias.	full_name_arg alias_arg
unityCatalog	createConnection	Uma nova conexão externa é criada.	name connection_type workspace_id metastore_id
unityCatalog	deleteConnection	Uma conexão externa é excluída.	name_arg workspace_id metastore_id
unityCatalog	getConnection	Uma conexão externa é recuperada.	name_arg workspace_id metastore_id
unityCatalog	updateConnection	Uma conexão externa é atualizada.	name_arg owner workspace_id metastore_id
unityCatalog	listConnections	As conexões estrangeiras em um metastore são listadas.	workspace_id metastore_id
unityCatalog	createFunction	O usuário cria uma nova função.	function_info workspace_id metastore_id
unityCatalog	updateFunction	O usuário atualiza uma função.	full_name_arg owner workspace_id metastore_id
unityCatalog	listFunctions	O usuário solicita uma lista de todas as funções em um catálogo ou esquema pai específico.	catalog_name schema_name include_browse workspace_id metastore_id
unityCatalog	getFunction	O usuário solicita uma função de um catálogo ou esquema pai.	full_name_arg workspace_id metastore_id
unityCatalog	deleteFunction	O usuário solicita uma função de um catálogo ou esquema pai.	full_name_arg workspace_id metastore_id
unityCatalog	createShareMarketplaceListingLink		links_infos metastore_id
unityCatalog	deleteShareMarketplaceListingLink		links_infos metastore_id

Eventos de compartilhamento Delta

Os eventos do Delta Sharing são divididos em duas seções: eventos registrados no site account do provedor de dados e eventos registrados no site account do destinatário dos dados.

Eventos do provedor Delta Sharing

Os seguintes eventos de logs de auditoria são registrados no site do provedor account. As ações executadas pelos destinatários começam com o prefixo deltaSharing. Cada um desses logs também inclui request_params.metastore_id, que é o metastore que gerencia os dados compartilhados, e userIdentity.email, que é o ID do usuário que iniciou a atividade.

Serviço	Ação	Descrição	Solicitar parâmetros
unityCatalog	deltaSharingListShares	Um destinatário de dados solicita uma lista de compartilhamentos.	options: As opções de paginação fornecidas com essa solicitação. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetShare	Um destinatário de dados solicita detalhes sobre um compartilhamento.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListSchemas	Um destinatário de dados solicita uma lista de esquemas compartilhados.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. options: As opções de paginação fornecidas com essa solicitação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllTables	Um destinatário de dados solicita uma lista de todas as tabelas compartilhadas.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListTables	Um destinatário de dados solicita uma lista de tabelas compartilhadas.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. options: As opções de paginação fornecidas com essa solicitação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetTableMetadata	Um destinatário de dados solicita detalhes sobre os metadados de uma tabela.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. schema: O nome do esquema. name: O nome da tabela. predicateHints: Os predicados incluídos na consulta. limitHints: O número máximo de linhas a serem retornadas. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingGetTableVersion	Um destinatário de dados solicita detalhes sobre uma versão de tabela.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. schema: O nome do esquema. name: O nome da tabela. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryTable	registra quando um destinatário de dados consulta uma tabela compartilhada.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. schema: O nome do esquema. name: O nome da tabela. predicateHints: Os predicados incluídos na consulta. limitHints: O número máximo de linhas a serem retornadas. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryTableChanges	registra em log quando um destinatário de dados consulta os dados de alteração de uma tabela.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. schema: O nome do esquema. name: O nome da tabela. cdf_options: Alterar as opções de feed de dados. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueriedTable	registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados)	recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueriedTableChanges	registra depois que um destinatário de dados recebe uma resposta à sua consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados).	recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListNotebookFiles	Um destinatário de dados solicita uma lista de arquivos Notebook compartilhados.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingQueryNotebookFile	Um destinatário de dados consulta um arquivo Notebook compartilhado.	file_name: O nome do arquivo Notebook. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListFunctions	Um destinatário de dados solicita uma lista de funções em um esquema pai.	share: O nome da ação. schema: O nome do esquema pai da função. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllFunctions	Um destinatário de dados solicita uma lista de todas as funções compartilhadas.	share: O nome da ação. schema: O nome do esquema pai da função. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListFunctionVersions	Um destinatário de dados solicita uma lista de versões de funções.	share: O nome da ação. schema: O nome do esquema pai da função. function: O nome da função. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListVolumes	Um destinatário de dados solicita uma lista de volumes compartilhados em um esquema.	share: O nome da ação. schema: O esquema de pais dos volumes. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	deltaSharingListAllVolumes	Um destinatário de dados solicita todos os volumes compartilhados.	share: O nome da ação. recipient_name: Indica o destinatário que está executando a ação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, será verdadeiro se a solicitação tiver sido negada e falso se a solicitação não tiver sido negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	updateMetastore	O provedor atualiza seu metastore.	delta_sharing_scope: Os valores podem ser INTERNAL ou INTERNAL_AND_EXTERNAL. delta_sharing_recipient_token_lifetime_in_seconds: Se presente, indica que o tempo de vida dos tokens do destinatário foi atualizado.
unityCatalog	createRecipient	O provedor cria um destinatário de dados.	name: O nome do destinatário. comment: O comentário para o destinatário. ip_access_list.allowed_ip_addresses: Lista de permissões do endereço IP do destinatário.
unityCatalog	deleteRecipient	O provedor exclui um destinatário de dados.	name: O nome do destinatário.
unityCatalog	getRecipient	O provedor solicita detalhes sobre um destinatário de dados.	name: O nome do destinatário.
unityCatalog	listRecipients	O provedor solicita uma lista de todos os seus destinatários de dados.	nenhum
unityCatalog	rotateRecipientToken	O provedor gira os tokens de um destinatário.	name: O nome do destinatário. comment: O comentário fornecido no comando de rotação.
unityCatalog	updateRecipient	O provedor atualiza os atributos de um destinatário de dados.	name: O nome do destinatário. updates: Uma representação JSON dos atributos do destinatário que foram adicionados ou removidos do compartilhamento.
unityCatalog	createShare	O provedor atualiza os atributos de um destinatário de dados.	name: O nome da ação. comment: O comentário para o compartilhamento.
unityCatalog	deleteShare	O provedor atualiza os atributos de um destinatário de dados.	name: O nome da ação.
unityCatalog	getShare	O provedor solicita detalhes sobre uma ação.	name: O nome da ação. include_shared_objects: Se os nomes das tabelas do compartilhamento foram incluídos na solicitação.
unityCatalog	updateShare	O provedor adiciona ou remove dados ativos de um compartilhamento.	name: O nome da ação. updates: Uma representação JSON dos dados ativos que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover), name (o nome real da tabela), shared_as (o nome com o qual o ativo foi compartilhado, se diferente do nome real) e partition_specification (se uma especificação de partição foi fornecida).
unityCatalog	listShares	O provedor solicita uma lista de suas ações.	nenhum
unityCatalog	getSharePermissions	O provedor solicita detalhes sobre as permissões de um compartilhamento.	name: O nome da ação.
unityCatalog	updateSharePermissions	O provedor atualiza as permissões de um compartilhamento.	name: O nome da ação. changes: Uma representação JSON das permissões atualizadas. Cada alteração inclui principal (o usuário ou grupo ao qual a permissão é concedida ou revogada), add (a lista de permissões que foram concedidas) e remove (a lista de permissões que foram revogadas).
unityCatalog	getRecipientSharePermissions	O provedor solicita detalhes sobre as permissões de compartilhamento de um destinatário.	name: O nome da ação.
unityCatalog	getActivationUrlInfo	O provedor solicita detalhes sobre a atividade em seu link de ativação.	recipient_name: O nome do destinatário que abriu a URL de ativação. is_ip_access_denied: Nenhum se não houver nenhuma lista de acesso IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário.
unityCatalog	generateTemporaryVolumeCredential	É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. share_id: A ID do compartilhamento. share_owner: O proprietário da ação. recipient_name: O nome do destinatário que solicita a credencial. recipient_id: A ID do destinatário. volume_full_name: O nome completo de 3 níveis do volume. volume_id: A ID do volume. volume_storage_location: O caminho das nuvens da raiz do volume. operation: Ou READ_VOLUME ou WRITE_VOLUME. Para o compartilhamento de volume, somente READ_VOLUME é suportado. credential_id: A ID da credencial. credential_type: O tipo da credencial. O valor é sempre StorageCredential. workspace_id: O valor é sempre 0 quando a solicitação é para volumes compartilhados.
unityCatalog	generateTemporaryTableCredential	Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. share_id: A ID do compartilhamento. share_owner: O proprietário da ação. recipient_name: O nome do destinatário que solicita a credencial. recipient_id: A ID do destinatário. table_full_name: O nome completo de 3 níveis da tabela. table_id: A ID da tabela. table_url: O caminho das nuvens da raiz da tabela. operation: Ou READ ou READ_WRITE. credential_id: A ID da credencial. credential_type: O tipo da credencial. O valor é sempre StorageCredential. workspace_id: O valor é sempre 0 quando a solicitação é para tabelas compartilhadas.

Eventos dos beneficiários do Delta Sharing

Os seguintes eventos são registrados no site account do destinatário dos dados. Esses eventos registram o acesso do destinatário a dados compartilhados e IA ativo, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:

• recipient_name: O nome do destinatário no sistema do provedor de dados.

• metastore_id: O nome do metastore no sistema do provedor de dados.

• sourceIPAddress: O endereço IP de onde a solicitação foi originada.

Serviço	Ação	Descrição	Solicitar parâmetros
unityCatalog	deltaSharingProxyGetTableVersion	Um destinatário de dados solicita detalhes sobre uma versão de tabela compartilhada.	share: O nome da ação. schema: O nome do esquema pai da tabela. name: O nome da tabela.
unityCatalog	deltaSharingProxyGetTableMetadata	Um destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada.	share: O nome da ação. schema: O nome do esquema pai da tabela. name: O nome da tabela.
unityCatalog	deltaSharingProxyQueryTable	Um destinatário de dados consulta uma tabela compartilhada.	share: O nome da ação. schema: O nome do esquema pai da tabela. name: O nome da tabela. limitHints: O número máximo de linhas a serem retornadas. predicateHints: Os predicados incluídos na consulta. version: Versão da tabela, se o feed de dados de alteração estiver ativado.
unityCatalog	deltaSharingProxyQueryTableChanges	Um destinatário de dados consulta os dados de alteração de uma tabela.	share: O nome da ação. schema: O nome do esquema pai da tabela. name: O nome da tabela. cdf_options: Alterar as opções de feed de dados.
unityCatalog	createProvider	Um destinatário de dados cria um objeto de provedor.	name: O nome do provedor. comment: O comentário para o provedor.
unityCatalog	updateProvider	Um destinatário de dados atualiza um objeto de provedor.	name: O nome do provedor. updates: Uma representação JSON dos atributos do provedor que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover) e pode incluir name (o novo nome do provedor), owner (novo proprietário) e comment.
unityCatalog	deleteProvider	Um destinatário de dados exclui um objeto de provedor.	name: O nome do provedor.
unityCatalog	getProvider	Um destinatário de dados solicita detalhes sobre um objeto do provedor.	name: O nome do provedor.
unityCatalog	listProviders	Um destinatário de dados solicita uma lista de provedores.	nenhum
unityCatalog	activateProvider	Um destinatário de dados ativa um objeto de provedor.	name: O nome do provedor.
unityCatalog	listProviderShares	Um destinatário de dados solicita uma lista de ações de um provedor.	name: O nome do provedor.
unityCatalog	generateTemporaryVolumeCredential	É gerada uma credencial temporária para que o destinatário acesse um volume compartilhado.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. volume_full_name: O nome completo de 3 níveis do volume. volume_id: A ID do volume. operation: Ou READ_VOLUME ou WRITE_VOLUME. Para o compartilhamento de volume, somente READ_VOLUME é suportado. workspace_id: A ID do site workspace que recebe a solicitação do usuário.
unityCatalog	generateTemporaryTableCredential	Uma credencial temporária é gerada para que o destinatário acesse uma tabela compartilhada.	share_name: O nome do compartilhamento por meio do qual o destinatário faz a solicitação. table_full_name: O nome completo de 3 níveis da tabela. table_id: A ID da tabela. operation: Ou READ ou READ_WRITE. workspace_id: A ID do site workspace que recebe a solicitação do usuário.

Eventos adicionais de monitoramento de segurança

Para recursos compute do Databricks no plano compute clássico, como VMs para clusters e SQL warehouse pro ou clássico, o recurso a seguir habilita agentes de monitoramento adicionais:

• Monitoramento de segurança aprimorado

• perfil de segurançacompliance . O perfil de segurança compliance é necessário para os controles compliance para PCI-DSS, HIPAA e FedRAMP Moderate.

Para o serverless SQL warehouse, os agentes de monitoramento executam se o perfil de segurança compliance estiver ativado e a região suportar o serverless SQL warehouse com o perfil de segurança compliance .

Eventos de monitoramento de integridade de arquivos

Os seguintes eventos capsule8-alerts-dataplane são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
capsule8-alerts-dataplane	Heartbeat	Um evento regular para confirmar se o monitor está ligado. Atualmente execução a cada 10 minutos.	instanceId
capsule8-alerts-dataplane	Memory Marked Executable	A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.	instanceId
capsule8-alerts-dataplane	File Integrity Monitor	Monitora a integridade de arquivos importantes do sistema. alertar sobre quaisquer alterações não autorizadas nesses arquivos. Databricks define conjuntos específicos de caminhos do sistema na imagem, e este conjunto de caminhos pode mudar ao longo do tempo.	instanceId
capsule8-alerts-dataplane	Systemd Unit File Modified	Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta sempre que um arquivo de unidade systemd for modificado por um programa diferente de systemctl.	instanceId
capsule8-alerts-dataplane	Repeated Program Crashes	As falhas repetidas do programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. alerta quando mais de 5 instâncias de um programa individual travam por falha de segmentação.	instanceId
capsule8-alerts-dataplane	Userfaultfd Usage	Como os contêineres são normalmente cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. alerta quando um arquivo criado ou modificado em 30 minutos é executado em um contêiner.	instanceId
capsule8-alerts-dataplane	New File Executed in Container	A memória geralmente é marcada como executável para permitir a execução de código malicioso quando um aplicativo está sendo explorado. alerta quando um programa define permissões de memória heap ou pilha para executável. Isso pode causar falsos positivos para determinados servidores de aplicativos.	instanceId
capsule8-alerts-dataplane	Suspicious Interactive Shell	shell interativo são ocorrências raras na infraestrutura de produção moderna. alerta quando um shell interativo é iniciado com argumentos comumente usados para shells reversos.	instanceId
capsule8-alerts-dataplane	User Command Logging Evasion	Evitar o registro de comandos é uma prática comum para invasores, mas também pode indicar que um usuário legítimo está executando ações não autorizadas ou tentando fugir da política. alerta quando uma alteração no registro do comando história do usuário é detectada, indicando que um usuário está tentando escapar do registro do comando.	instanceId
capsule8-alerts-dataplane	BPF Program Executed	Detecta alguns tipos de backdoors do kernel. O carregamento de um novo programa Berkeley Packet Filter (BPF) pode indicar que um invasor está carregando um rootkit baseado em BPF para ganhar persistência e evitar detecção. alerta quando um processo carrega um novo programa BPF privilegiado, caso o processo já faça parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Kernel Module Loaded	Os invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. alerta quando um módulo do kernel é carregado, se o programa já faz parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Suspicious Program Name Executed-Space After File	Os invasores podem criar ou renomear binários maliciosos para incluir um espaço no final do nome, em um esforço para se passar por um programa ou serviço legítimo do sistema. alerta quando um programa é executado com um espaço após o nome do programa.	instanceId
capsule8-alerts-dataplane	Illegal Elevation Of Privileges	As explorações de escalonamento de privilégios do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de root sem passar por portas padrão para alterações de privilégios. alerta quando um programa tenta elevar privilégios por meios incomuns. Isto pode emitir alertas falsos positivos em nós com cargas de trabalho significativas.	instanceId
capsule8-alerts-dataplane	Kernel Exploit	As funções internas do kernel não são acessíveis a programas regulares e, se chamadas, são um forte indicador de que uma exploração do kernel foi executada e que o invasor tem controle total do nó. alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário.	instanceId
capsule8-alerts-dataplane	Processor-Level Protections Disabled	SMEP e SMAP são proteções em nível de processador que aumentam a dificuldade de sucesso das explorações do kernel, e desabilitar essas restrições é uma etapa inicial comum nas explorações do kernel. alerta quando um programa altera a configuração SMEP/SMAP do kernel.	instanceId
capsule8-alerts-dataplane	Container Escape via Kernel Exploitation	alerta quando um programa usa funções de kernel comumente usadas em explorações de escape de contêineres, indicando que um invasor está escalando privilégios de acesso a contêineres para acesso a nós.	instanceId
capsule8-alerts-dataplane	Privileged Container Launched	Containers privilegiados têm acesso direto ao recurso do host, causando maior impacto quando comprometidos. alerta quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos.	instanceId
capsule8-alerts-dataplane	Userland Container Escape	Muitas fugas de contêiner forçam o host a executar um binário no contêiner, resultando no invasor ganhando controle total do nó afetado. alerta quando um arquivo criado em contêiner é executado de fora de um contêiner.	instanceId
capsule8-alerts-dataplane	AppArmor Disabled In Kernel	A modificação de determinados atributos do AppArmor só pode ocorrer no kernel, indicando que o AppArmor foi desativado por uma exploração ou rootkit do kernel. alerta quando o estado do AppArmor é alterado da configuração do AppArmor detectada quando o sensor é iniciado.	instanceId
capsule8-alerts-dataplane	AppArmor Profile Modified	Os invasores podem tentar desativar a aplicação de perfis do AppArmor como parte da evasão da detecção. alerta quando um comando para modificação de um perfil do AppArmor é executado, caso não tenha sido executado por um usuário em uma sessão SSH.	instanceId
capsule8-alerts-dataplane	Boot Files Modified	Se não for realizada por uma fonte confiável (como um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que um invasor modificou o kernel ou suas opções para obter acesso persistente a um host. alerta quando alterações são feitas nos arquivos em /boot, indicando a instalação de um novo kernel ou configuração de inicialização.	instanceId
capsule8-alerts-dataplane	Log Files Deleted	A exclusão de logs não realizada por uma ferramenta de gerenciamento de logs pode indicar que um invasor está tentando remover indicadores de comprometimento. alerta sobre exclusão de arquivos logs do sistema.	instanceId
capsule8-alerts-dataplane	New File Executed	Arquivos recém-criados de fontes diferentes de programas de atualização do sistema podem ser backdoors, explorações de kernel ou parte de uma cadeia de exploração. alerta quando um arquivo criado ou modificado em 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema.	instanceId
capsule8-alerts-dataplane	Root Certificate Store Modified	A modificação do armazenamento de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, permitindo a interceptação do tráfego de rede ou o desvio da verificação de assinatura de código. alerta quando um armazenamento de certificados de CA do sistema é alterado.	instanceId
capsule8-alerts-dataplane	Setuid/Setgid Bit Set On File	A configuração de setuid/setgid bits pode ser usada para fornecer um método persistente para escalonamento de privilégios em um nó. alerta quando o bit setuid ou setgid é definido em um arquivo com a família chmod de chamadas de sistema.	instanceId
capsule8-alerts-dataplane	Hidden File Created	Os invasores geralmente criam arquivos ocultos como forma de ocultar ferramentas e cargas em um host comprometido. alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Modification Of Common System Utilities	Os invasores podem modificar as utilidades do sistema para executar cargas maliciosas sempre que essas utilidades forem executadas. alerta quando um sistema russo comum é modificado por um processo não autorizado.	instanceId
capsule8-alerts-dataplane	Network Service Scanner Executed	Um invasor ou usuário não autorizado pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais a serem comprometidos. alerta quando ferramentas comuns de programas de varredura de rede são executadas.	instanceId
capsule8-alerts-dataplane	Network Service Created	Os invasores podem lançar um novo serviço de rede para fornecer acesso fácil a um host após comprometimento. alertar quando um programa iniciar um novo serviço de rede, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Network Sniffing Program Executed	Um invasor ou usuário não autorizado pode executar um comando de detecção de rede para capturar credenciais, informações de identificação pessoal (PII) ou outras informações confidenciais. alerta quando é executado um programa que permite captura de rede.	instanceId
capsule8-alerts-dataplane	Remote File Copy Detected	O uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Unusual Outbound Connection Detected	Os mineradores de canais de comando e controle e criptomoedas geralmente criam novas conexões de rede de saída em portas incomuns. alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Data Archived Via Program	Depois de obter acesso a um sistema, um invasor pode criar um arquivo compactado de arquivos para reduzir o tamanho dos dados para exfiltração. alertar quando um programa de compressão de dados for executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Process Injection	O uso de técnicas de injeção de processo geralmente indica que um usuário está eliminando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. alerta quando um programa usa mecanismos ptrace (depuração) para interagir com outro processo.	instanceId
capsule8-alerts-dataplane	Account Enumeration Via Program	Os invasores costumam usar programas de enumeração account para determinar seu nível de acesso e para ver se outros usuários estão log in no nó. alertar quando um programa associado à enumeração account for executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	File and Directory Discovery Via Program	Explorar sistemas de arquivos é um comportamento pós-exploração comum para um invasor em busca de credenciais e dados de interesse. alertar quando um programa associado à enumeração de arquivos e diretórios for executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Network Configuration Enumeration Via Program	Os invasores podem interrogar a rede local e encaminhar informações para identificar hosts e redes adjacentes antes do movimento lateral. alerta quando um programa associado à enumeração de configuração de rede é executado, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	Process Enumeration Via Program	Os invasores geralmente listam os programas em execução para identificar a finalidade de um nó e se existem ferramentas de segurança ou monitoramento. alerta quando um programa associado à enumeração de processos é executado, caso o programa já faça parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	System Information Enumeration Via Program	Os invasores geralmente executam o comando de enumeração do sistema para determinar o kernel do Linux e as versões e recursos da distribuição, geralmente para identificar se o nó é afetado por vulnerabilidades específicas. alertar quando é executado um programa associado à enumeração de informação do sistema, caso o programa já faça parte de um incidente em curso.	instanceId
capsule8-alerts-dataplane	Scheduled Tasks Modified Via Program	Modificar tarefas agendadas é um método comum para estabelecer persistência em um nó comprometido. alerta quando o comando crontab, at ou batch são usados para modificar configurações de tarefas agendadas.	instanceId
capsule8-alerts-dataplane	Systemctl Usage Detected	Mudanças nas unidades do systemd podem resultar na flexibilização ou desativação dos controles de segurança, ou na instalação de um serviço malicioso. alerta quando o comando systemctl é usado para modificar unidades do systemd.	instanceId
capsule8-alerts-dataplane	User Execution Of su Command	O escalonamento explícito para o usuário root diminui a capacidade de correlacionar atividades privilegiadas a um usuário específico. alerta quando o comando su é executado.	instanceId
capsule8-alerts-dataplane	User Execution Of sudo Command	alerta quando o comando sudo é executado.	instanceId
capsule8-alerts-dataplane	User Command History Cleared	A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos.	instanceId
capsule8-alerts-dataplane	New System User Added	Um invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento de account local /etc/passwd, se a entidade não for adicionada por um programa de atualização do sistema.	instanceId
capsule8-alerts-dataplane	Password Database Modification	Os invasores podem modificar diretamente os arquivos relacionados à identidade para adicionar um novo usuário ao sistema. alerta quando um arquivo relacionado a senhas de usuários é modificado por um programa não relacionado à atualização de informações existentes do usuário.	instanceId
capsule8-alerts-dataplane	SSH Authorized Keys Modification	Adicionar uma nova key pública SSH é um método comum para obter acesso persistente a um host comprometido. alerta quando for observada uma tentativa de gravação no arquivo SSH authorized_keys de um usuário, se o programa já fizer parte de um incidente em andamento.	instanceId
capsule8-alerts-dataplane	User Account Created Via CLI	Adicionar um novo usuário é uma etapa comum para invasores ao estabelecer persistência em um nó comprometido. alerta quando um programa de gerenciamento de identidade é executado por um programa que não seja um gerenciador de pacotes.	instanceId
capsule8-alerts-dataplane	User Configuration Changes	A exclusão do arquivo história é incomum, geralmente realizada por invasores que ocultam atividades ou por usuários legítimos que pretendem escapar dos controles de auditoria. alerta quando arquivos de história da linha de comando são excluídos.	instanceId
capsule8-alerts-dataplane	New System User Added	O perfil do usuário e os arquivos de configuração são frequentemente modificados como um método de persistência para executar um programa sempre que um usuário log in. alerta quando .bash_profile e bashrc (bem como arquivos relacionados) são modificados por um programa que não seja uma ferramenta de atualização do sistema.	instanceId

Eventos de monitoramento de antivírus

Observação

O objeto JSON response nesses logs de auditoria sempre tem um campo result que inclui uma linha do resultado da verificação original. Cada resultado de verificação é normalmente representado por vários registros de logs , um para cada linha da saída de verificação original. Para obter detalhes sobre o que pode aparecer neste arquivo, consulte a documentação de terceiros a seguir.

O seguinte evento clamAVScanService-dataplane é logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
clamAVScanService-dataplane	clamAVScanAction	O monitoramento antivírus realiza uma verificação. Um logs será gerado para cada linha da saída de varredura original.	instanceId

Eventos logs do sistema

Observação

O objeto JSON response nos logs de auditoria tem um campo result que inclui o conteúdo original logs do sistema.

O seguinte evento syslog é logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
syslog	processEvent	Os logs do sistema processam um evento.	instanceId processName

O monitor de processo logs eventos

Os seguintes eventos monit são logs no nível do workspace .

Serviço	Ação	Descrição	Solicitar parâmetros
monit	processNotRunning	O monitor não está funcionando.	instanceId processName
monit	processRestarting	O monitor está reiniciando.	instanceId processName
monit	processStarted	O monitor começa.	instanceId processName
monit	processRunning	O monitor está funcionando.	instanceId processName

Eventos logs obsoletos

Databricks preteriu os seguintes eventos de auditoria:

• createAlertDestination (agora createNotificationDestination)

• deleteAlertDestination (agora deleteNotificationDestination)

• updateAlertDestination (agora updateNotificationDestination)

Logs SQL endpoint

Se você criar SQL warehouse usando a API SQL endpoint obsoleta (o antigo nome do SQL warehouse), o nome do evento de auditoria correspondente incluirá a palavra Endpoint em vez de Warehouse. Além do nome, esses eventos são idênticos aos eventos do SQL warehouse . Para view as descrições e solicitar parâmetros destes eventos, consulte os seus eventos de armazém correspondentes em Databricks SQL events.

Os eventos SQL endpoint são:

• changeEndpointAcls

• createEndpoint

• editEndpoint

• startEndpoint

• stopEndpoint

• deleteEndpoint

• setEndpointConfig