Informations de référence sur les journaux de diagnostic
Notes
cette fonctionnalité nécessite le plan Premium.
Cet article fournit une référence complète des événements et services de journal d’audit. La disponibilité de ces services dépend de la façon dont vous accédez aux journaux :
- La table système du journal d’audit enregistre tous les événements et services répertoriés dans cet article.
- Le service de paramètres de diagnostic d’Azure Monitor ne journalise pas tous ces services. Les services qui ne sont pas disponibles dans les paramètres de diagnostic d’Azure sont étiquetés en conséquence.
Remarque
Azure Databricks conserve une copie des journaux d’audit pendant un an au maximum à des fins de sécurité et d’analyse de la fraude.
Services de journal de diagnostic
Les services suivants et leurs événements sont consignés par défaut dans les journaux de diagnostic.
Remarque
Les désignations au niveau de l’espace de travail et au niveau du compte s’appliquent uniquement à la table système des journaux d’audit. Les journaux de diagnostic Azure n’incluent pas d’événements au niveau du compte.
Services au niveau de l’espace de travail
| Nom du service | Description |
|---|---|
| accounts | Événements liés aux comptes, utilisateurs, groupes et listes d’accès IP. |
| clusters | Événements liés aux clusters. |
| clusterPolicies | Événements liés aux stratégies de cluster. |
| dashboards | Événements liés à l’utilisation des tableaux de bord AI/BI. |
| databrickssql | Événements liés à l'utilisation de Databricks SQL. |
| dataMonitoring | Événements liés à la Lakehouse Monitoring. |
| dbfs | Événements liés à DBFS. |
| deltaPipelines | Événements liés aux Pipelines Delta Live Table. |
| featureStore | Événements liés au Magasin de fonctionnalités Databricks. |
| filesystem | Événements liés à la gestion des fichiers, qui incluent l’interaction avec les fichiers à l’aide de l’API Files ou de l’interface utilisateur des volumes. |
| génie | Événements liés à l’accès à l’espace de travail par le personnel du support. Les espaces Génie d’IA/BI ne sont pas associés. |
| gitCredentials | Événements liés aux informations d’identification Git pour les dossiers Git Databricks. Voir aussi repos. |
| globalInitScripts | Événements liés aux scripts init globaux. |
| groups | Événements liés aux groupes de compte et d’espace de travail. |
| iamRole | Événements liés aux autorisations de rôle IAM. |
| ingestion | Événements liés aux chargements de fichiers. |
| instancePools | Événements liés aux pools. |
| jobs | Événements liés aux travaux. |
| marketplaceConsumer | Événements liés aux actions des consommateurs dans la Place de marché Databricks. |
| marketplaceProvider | Événements liés aux actions du fournisseur dans la Place de marché Databricks. |
| mlflowAcledArtifact | Événements liés aux artefacts ML Flow avec des listes de contrôle d’accès. |
| mlflowExperiment | Événements liés aux expériences ML Flow. |
| modelRegistry | Événements liés au registre de modèles. |
| notebook | Événements liés aux notebooks. |
| partnerConnect | Événements liés à Partner Connect. |
| predictiveOptimization | Événements liés à l’optimisation prédictive. |
| remoteHistoryService | Événements liés à l’ajout d’une suppression des informations d’identification GitHub. |
| repos | Événements liés aux dossiers Git Databricks. Voir aussi gitCredentials. |
| secrets | Événements liés aux secrets. |
| serverlessRealTimeInference | Événements liés à la distribution de modèles. |
| sqlPermissions | Événements liés au contrôle d’accès à une table de metastore Hive héritée. |
| ssh | Événements liés à l’accès SSH. |
| vectorSearch | Événements liés à la recherche vectorielle. |
| webTerminal | Événements liés à la fonctionnalité de terminal web. |
| workspace | Événements liés aux espaces de travail. |
Services au niveau du compte
Les journaux d’audit au niveau du compte sont disponibles pour ces services :
| Nom du service | Description |
|---|---|
| accountBillableUsage | Actions liées à l’accès à l’utilisation facturable dans la console de compte. |
| accountsAccessControl | Actions liées aux règles de contrôle d’accès au niveau du compte. |
| accountsManager | Actions liées aux configurations de connectivité réseau. |
| budgetPolicyCentral | Actions liées à la gestion des stratégies budgétaires. |
| unityCatalog | Actions effectuées dans le catalogue Unity. Cela inclut également les événements de partage Delta, consultez l’article sur les événements de partage Delta. |
Services de surveillance de la sécurité supplémentaires
Il existe des services supplémentaires et des actions associées pour les espaces de travail qui utilisent le profil de sécurité de la conformité (requis pour certaines normes de conformité telles que FedRAMP, PCI et HIPAA) ou la surveillance de sécurité renforcée.
Il s’agit de services au niveau de l’espace de travail qui ne seront générés que dans vos journaux si vous utilisez le profil de sécurité de conformité ou le monitoring de sécurité renforcée :
| Nom du service | Description |
|---|---|
| capsule8-alerts-dataplane | Actions liées à la surveillance de l’intégrité des fichiers. |
| clamAVScanService-dataplane | Actions liées à la surveillance antivirus. |
Exemple de schéma de journal de diagnostic
Dans Azure Databricks, les journaux de diagnostic produisent des événements au format JSON. Dans Azure Databricks, les journaux de diagnostic produisent des événements au format JSON. Les propriétés serviceName et actionName identifient l’événement. La convention de nommage suit l’API REST Databricks.
L’exemple JSON suivant illustre un événement journalisé lorsqu’un utilisateur a créé un travail :
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Considérations relatives au schéma de journal de diagnostic
- Si les actions prennent beaucoup de temps, la demande et la réponse sont journalisées séparément, mais la paire demande et réponse ont le même
requestId. - Les actions automatisées, telles que le redimensionnement d’un cluster en raison de la mise à l’échelle automatique ou du lancement d’un travail en raison d’une planification, sont effectuées par l’utilisateur
System-User. - Le champ
requestParamsest susceptible d’être tronqué. Si la taille de sa représentation JSON dépasse 100 Ko, les valeurs sont tronquées et la chaîne... truncatedest ajoutée aux entrées tronquées. Dans de rares cas où une carte tronquée est toujours supérieure à 100 Ko, une clé uniqueTRUNCATEDavec une valeur vide est présente à la place.
Événements de compte
Les événements accounts suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
accounts |
activateUser |
Un utilisateur est réactivé après avoir été désactivé. Consultez Désactiver les utilisateurs dans l’espace de travail. | - targetUserName- endpoint- targetUserId |
accounts |
aadBrowserLogin |
Un utilisateur se connecte à Databricks à l’aide d’un workflow de navigateur Microsoft Entra ID. | - user |
accounts |
aadTokenLogin |
Un utilisateur se connecte à Databricks via le jeton Microsoft Entra ID. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Un client OAuth est authentifié. | - endpoint |
accounts |
activateUser |
L’administrateur ajoute un utilisateur au compte Databricks à partir du portail Azure. | - warehouse- targetUserName- targetUserId |
accounts |
add |
Un utilisateur est ajouté à un espace de travail Azure Databricks. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Un utilisateur est ajouté à un groupe au niveau de l’espace de travail. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
changeDatabricksSqlAcl |
Les autorisations Databricks SQL d’un utilisateur sont modifiées. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Les autorisations d’un espace de travail sont modifiées. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDbTokenAcl |
Quand les autorisations sur un jeton sont modifiées. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Quand les autorisations d’un principal de service sont modifiées. | - shardName- targetServicePrincipal- resourceId- aclPermissionSet |
accounts |
createGroup |
Un groupe au niveau de l’espace de travail est créé. | - endpoint- targetGroupId- targetGroupName |
accounts |
createIpAccessList |
Une liste d’accès IP est ajoutée à l’espace de travail. | - ipAccessListId- userId |
accounts |
deactivateUser |
Un utilisateur est désactivé dans l’espace de travail. Consultez Désactiver les utilisateurs dans l’espace de travail. | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Un utilisateur est supprimé de l’espace de travail Azure Databricks. | - targetUserId- targetUserName- endpoint |
accounts |
deleteIpAccessList |
Une liste d’accès IP est supprimée de l’espace de travail. | - ipAccessListId- userId |
accounts |
garbageCollectDbToken |
Un utilisateur exécute une commande « garbage collect » sur des jetons arrivés à expiration. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
Quand quelqu’un génère un jeton à partir des paramètres utilisateur ou lorsque le service génère le jeton. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
IpAccessDenied |
Un utilisateur tente de se connecter au service via une adresse IP refusée. | - path- userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. | - user |
accounts |
login |
L’utilisateur se connecte à l’espace de travail. | - user |
accounts |
logout |
L’utilisateur se déconnecte de l’espace de travail. | - user |
accounts |
oidcTokenAuthorization |
Quand un appel d’API est autorisé via un jeton OIDC/OAuth générique. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Lorsque le nombre actuel de jetons non expirés dépasse le quota de jetons | |
accounts |
removeAdmin |
Un utilisateur est révoqué des autorisations d’administrateur de l’espace de travail. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Un groupe est supprimé de l’espace de travail. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Un utilisateur est supprimé d’un groupe. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
revokeDbToken |
Le jeton d’un utilisateur est supprimé d’un espace de travail. Peut être déclenché par la suppression d’un utilisateur du compte Databricks. | - userId |
accounts |
setAdmin |
Un utilisateur se voit accorder des autorisations d’administrateur de compte. | - endpoint- targetUserName- targetUserId |
accounts |
tokenLogin |
L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. | - tokenId- user |
accounts |
updateIpAccessList |
Une liste d’accès IP est modifiée. | - ipAccessListId- userId |
accounts |
updateUser |
Une modification est apportée au compte de l’utilisateur. | - warehouse- targetUserName- targetUserId |
accounts |
validateEmail |
Lorsqu’un utilisateur valide son e-mail après la création du compte. | - endpoint- targetUserName- targetUserId |
Événements de clusters
Les événements cluster suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
clusters |
changeClusterAcl |
Un utilisateur modifie la liste de contrôle d'accès du cluster. | - shardName- aclPermissionSet- targetUserId- resourceId |
clusters |
create |
Un utilisateur crée un cluster. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
createResult |
Résultats de la création du cluster. Conjointement avec create. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
delete |
Un cluster est arrêté. | - cluster_id |
clusters |
deleteResult |
Résultats de l’arrêt du cluster. Conjointement avec delete. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
edit |
Un utilisateur apporte des modifications aux paramètres du cluster. Cette opération consigne toutes les modifications, à l’exception de la modification de la taille du cluster ou du comportement de mise à l’échelle automatique. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
permanentDelete |
Un cluster est supprimé de l’interface utilisateur. | - cluster_id |
clusters |
resize |
Redimensionnements de cluster. Il s’agit d’une connexion sur des clusters en cours d’exécution, où la seule propriété qui change est la taille du cluster ou le comportement de mise à l’échelle automatique. | - cluster_id- num_workers- autoscale |
clusters |
resizeResult |
Résultats du redimensionnement du cluster. Conjointement avec resize. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
restart |
Un utilisateur redémarre un cluster en cours d’exécution. | - cluster_id |
clusters |
restartResult |
Résultats du redémarrage du cluster. Conjointement avec restart. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
start |
Un utilisateur démarre un cluster. | - init_scripts_safe_mode- cluster_id |
clusters |
startResult |
Résultats du redimensionnement du cluster. Conjointement avec start. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
Événements de bibliothèques de cluster
Les événements clusterLibraries suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
clusterLibraries |
installLibraries |
L’utilisateur installe une bibliothèque sur un cluster. | - cluster_id- libraries |
clusterLibraries |
uninstallLibraries |
L’utilisateur désinstalle une librairie sur un cluster. | - cluster_id- libraries |
clusterLibraries |
installLibraryOnAllClusters |
Un administrateur d’espace de travail planifie l’installation d’une bibliothèque sur tout le cluster. | - user- library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Un administrateur d’espace de travail supprime une bibliothèque de la liste à installer sur tous les clusters. | - user- library |
Événements de stratégie de cluster
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements clusterPolicies suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
clusterPolicies |
create |
Un utilisateur a créé une stratégie de cluster. | - name |
clusterPolicies |
edit |
Un utilisateur a modifié une stratégie de cluster. | - policy_id- name |
clusterPolicies |
delete |
Un utilisateur a supprimé une stratégie de cluster. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Un administrateur d’espace de travail modifie les autorisations d’une stratégie de cluster. | - shardName- targetUserId- resourceId- aclPermissionSet |
Événements de tableaux de bord
Les événements dashboards suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
dashboards |
getDashboard |
Un utilisateur accède à la version brouillon d’un tableau de bord en l’affichant dans l’interface utilisateur ou en demandant la définition du tableau de bord à l’aide de l’API. Seuls les utilisateurs de l’espace de travail peuvent accéder à la version brouillon d’un tableau de bord. | - dashboard_id |
dashboards |
getPublishedDashboard |
Un utilisateur accède à la version publiée d’un tableau de bord en consultant l’interface utilisateur ou en demandant la définition du tableau de bord à l’aide de l’API. Inclut les activités des utilisateurs de l’espace de travail et des utilisateurs de compte. Exclut la réception d’un instantané PDF d’un tableau de bord à l’aide d’un e-mail planifié. | - dashboard_id- credentials_embedded |
dashboards |
executeQuery |
Un utilisateur exécute une requête à partir d’un tableau de bord. | - dashboard_id- statement_id |
dashboards |
cancelQuery |
Un utilisateur annule une requête à partir d’un tableau de bord. | - dashboard_id- statement_id |
dashboards |
getQueryResult |
Un utilisateur reçoit les résultats d’une requête à partir d’un tableau de bord. | - dashboard_id- statement_id |
dashboards |
sendDashboardSnapshot |
Un instantané PDF d’un tableau de bord est envoyé via un e-mail programmé. Les valeurs des paramètres de requête dépendent du type de destinataire. Pour une destination de notification Databricks, seule la valeur destination_id est affichée. Pour un utilisateur Databricks, l’ID d’utilisateur et l’adresse e-mail de l’abonné sont affichés. Si le destinataire est une adresse e-mail, seule l’adresse e-mail est affichée. |
- dashboard_id- subscriber_destination_id- subscriber_user_details: {user_id,email_address } |
dashboards |
getDashboardDetails |
Un utilisateur accède aux détails d’un tableau de bord brouillon, comme les jeux de données et les widgets. getDashboardDetails est toujours émis lorsqu’un utilisateur affiche un tableau de bord brouillon à l’aide de l’interface utilisateur ou demande la définition du tableau de bord à l’aide de l’API. |
- dashboard_id |
dashboards |
createDashboard |
Un utilisateur crée un tableau de bord AI/BI à l’aide de l’interface utilisateur ou de l’API. | - dashboard_id |
dashboards |
updateDashboard |
Un utilisateur effectue la mise à jour d’un tableau de bord AI/BI à l’aide de l’interface utilisateur ou de l’API. | - dashboard_id |
dashboards |
cloneDashboard |
Un utilisateur clone un tableau de bord AI/BI. | - source_dashboard_id- new_dashboard_id |
dashboards |
publishDashboard |
Un utilisateur publie un tableau de bord AI/BI avec ou sans informations d’identification incorporées à l’aide de l’interface utilisateur ou de l’API. | - dashboard_id- credentials_embedded- warehouse_id |
dashboards |
unpublishDashboard |
Un utilisateur annule la publication d’un tableau de bord AI/BI publié à l’aide de l’interface utilisateur ou de l’API. | - dashboard_id |
dashboards |
trashDashboard |
Un utilisateur déplace un tableau de bord AI/BI vers la Corbeille à l’aide de l’interface utilisateur ou de l’API. | - dashboard_id |
dashboards |
restoreDashboard |
Un utilisateur restaure un tableau de bord AI/BI à partir de la Corbeille. | - dashboard_id |
dashboards |
migrateDashboard |
Un utilisateur migre un tableau de bord DBSQL vers un tableau de bord AI/BI. | - source_dashboard_id- new_dashboard_id |
dashboards |
createSchedule |
Un utilisateur crée une planification d’abonnement par e-mail. | - dashboard_id- schedule_id |
dashboards |
updateSchedule |
Un utilisateur effectue la mise à jour de la planification d’un tableau de bord AI/BI. | - dashboard_id- schedule_id |
dashboards |
deleteSchedule |
Un utilisateur supprime la planification d’un tableau de bord AI/BI. | - dashboard_id- schedule_id |
dashboards |
createSubscription |
Un utilisateur abonne une destination e-mail à une planification de tableau de bord AI/BI. | - dashboard_id- schedule_id- schedule |
dashboards |
deleteSubscription |
Un utilisateur supprime une destination e-mail d’une planification de tableau de bord AI/BI. | - dashboard_id- schedule_id |
Événements Databricks SQL
Les événements databrickssql suivants sont enregistrés au niveau de l’espace de travail.
Remarque
Si vous gérez vos entrepôts SQL à l’aide de l’API de points de terminaison SQL héritée, vos événements d’audit d’entrepôt SQL auront des noms d’actions différents. Consultez Journaux de point de terminaison SQL.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Un widget est ajouté à un tableau de bord. | - dashboardId- widgetId |
databrickssql |
cancelQueryExecution |
Une exécution de requête est annulée à partir de l’interface utilisateur de l’éditeur SQL. Cela n’inclut pas les annulations provenant de l’interface utilisateur Historique des requêtes ou de l’API Exécution SQL Databricks. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Un responsable d’entrepôt met à jour les autorisations sur un entrepôt SQL. | - aclPermissionSet- resourceId- shardName- targetUserId |
databrickssql |
changePermissions |
Un utilisateur met à jour les autorisations sur un objet. | - granteeAndPermission- objectId- objectType |
databrickssql |
cloneDashboard |
Un utilisateur clone un tableau de bord. | - dashboardId |
databrickssql |
commandSubmit |
Uniquement dans les journaux d’audit détaillés. Généré lorsqu’une commande est envoyée à un entrepôt SQL, quelle que soit l’origine de la requête. | - warehouseId- commandId- validation- commandText |
databrickssql |
commandFinish |
Uniquement dans les journaux d’audit détaillés. Généré lorsqu’une commande sur un entrepôt SQL se termine ou est annulée, quelle que soit l’origine de la demande d’annulation. | - warehouseId- commandId |
databrickssql |
createAlert |
Un utilisateur crée une alerte. | - alertId |
databrickssql |
createNotificationDestination |
Un administrateur d’espace de travail crée une destination de notification. | - notificationDestinationId- notificationDestinationType |
databrickssql |
createDashboard |
Un utilisateur crée un tableau de bord. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Un utilisateur crée un tableau de bord d’aperçu des données. | - dashboardId |
databrickssql |
createWarehouse |
Un utilisateur disposant du droit de création de cluster crée un entrepôt SQL. | - auto_resume- auto_stop_mins- channel- cluster_size- conf_pairs- custom_cluster_confs- enable_databricks_compute- enable_photon- enable_serverless_compute- instance_profile_arn- max_num_clusters- min_num_clusters- name- size- spot_instance_policy- tags- test_overrides |
databrickssql |
createQuery |
Un utilisateur crée une requête. | - queryId |
databrickssql |
createQueryDraft |
Un utilisateur crée un brouillon de requête. | - queryId |
databrickssql |
createQuerySnippet |
Un utilisateur crée un extrait de requête. | - querySnippetId |
databrickssql |
createSampleDashboard |
Un utilisateur crée un exemple de tableau de bord. | - sampleDashboardId |
databrickssql |
createVisualization |
Un utilisateur génère une visualisation à l’aide de l’éditeur SQL. Exclut les tables et visualisations de résultats par défaut dans les notebooks qui utilisent des entrepôts SQL. | - queryId- visualizationId |
databrickssql |
deleteAlert |
Un utilisateur supprime une alerte de l’interface d’alerte ou au moyen d’une API. Exclut les suppressions de l’interface utilisateur de l’explorateur de fichiers. | - alertId |
databrickssql |
deleteNotificationDestination |
Un administrateur d’espace de travail crée une destination de notification. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Un utilisateur supprime un tableau de bord de l’interface de tableau de bord ou au moyen d’une API. Exclut les suppressions au moyen de l’interface utilisateur de l’explorateur de fichiers. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Un utilisateur supprime un widget de tableau de bord. | - widgetId |
databrickssql |
deleteWarehouse |
Un responsable d’entrepôt supprime un entrepôt SQL. | - id |
databrickssql |
deleteQuery |
Un utilisateur supprime une requête de l’interface de requête ou au moyen d’une API. Exclut les suppressions au moyen de l’interface utilisateur de l’explorateur de fichiers. | - queryId |
databrickssql |
deleteQueryDraft |
Un utilisateur supprime un brouillon de requête. | - queryId |
databrickssql |
deleteQuerySnippet |
Un utilisateur supprime un extrait de requête. | - querySnippetId |
databrickssql |
deleteVisualization |
Un utilisateur supprime une visualisation d’une requête dans l’éditeur SQL. | - visualizationId |
databrickssql |
downloadQueryResult |
Un utilisateur télécharge un résultat de requête à partir de l’éditeur SQL. Exclut les téléchargements à partir de tableaux de bord. | - fileType- queryId- queryResultId- credentialsEmbedded- credentialsEmbeddedId |
databrickssql |
editWarehouse |
Un responsable d’entrepôt apporte des modifications à un entrepôt SQL. | - auto_stop_mins- channel- cluster_size- confs- enable_photon- enable_serverless_compute- id- instance_profile_arn- max_num_clusters- min_num_clusters- name- spot_instance_policy- tags |
databrickssql |
executeAdhocQuery |
Généré par l’une des actions suivantes : - Un utilisateur exécute un brouillon de requête dans l’éditeur SQL - Une requête est exécutée à partir d’une agrégation de visualisation - Un utilisateur charge un tableau de bord et exécute des requêtes sous-jacentes |
- dataSourceId |
databrickssql |
executeSavedQuery |
Un utilisateur exécute une requête enregistrée. | - queryId |
databrickssql |
executeWidgetQuery |
Généré par un événement qui exécute une requête de sorte qu’un panneau de tableau de bord s’actualise. Voici quelques exemples d’événements applicables : - Actualisation d’un seul panneau - Actualisation d’un tableau de bord entier - Exécutions de tableau de bord planifiées - Modifications de paramètres ou de filtres sur plus de 64 000 lignes |
- widgetId |
databrickssql |
favoriteDashboard |
Un utilisateur ajoute un tableau de bord à ses favoris. | - dashboardId |
databrickssql |
favoriteQuery |
Un utilisateur ajoute une requête à ses favoris. | - queryId |
databrickssql |
forkQuery |
Un utilisateur clone une requête. | - originalQueryId- queryId |
databrickssql |
listQueries |
Un utilisateur ouvre la page de liste des requêtes ou appelle l’API de requête de liste. | - filter_by- include_metrics- max_results- page_token |
databrickssql |
moveAlertToTrash |
Un utilisateur déplace une alerte vers la corbeille. | - alertId |
databrickssql |
moveDashboardToTrash |
Un utilisateur déplace un tableau de bord vers la corbeille. | - dashboardId |
databrickssql |
moveQueryToTrash |
Un utilisateur déplace une requête vers la corbeille. | - queryId |
databrickssql |
restoreAlert |
Un utilisateur restaure une alerte à partir de la corbeille. | - alertId |
databrickssql |
restoreDashboard |
Un utilisateur restaure un tableau de bord à partir de la corbeille. | - dashboardId |
databrickssql |
restoreQuery |
Un utilisateur restaure une requête à partir de la corbeille. | - queryId |
databrickssql |
setWarehouseConfig |
Un responsable d’entrepôt définit la configuration d’un entrepôt SQL. | - data_access_config- enable_serverless_compute- instance_profile_arn- security_policy- serverless_agreement- sql_configuration_parameters- try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Un utilisateur demande une capture instantanée d’un tableau de bord. Inclut des instantanés de tableau de bord planifiés. | - dashboardId |
databrickssql |
startWarehouse |
Un entrepôt SQL est démarré. | - id |
databrickssql |
stopWarehouse |
Un responsable d’entrepôt arrête un entrepôt SQL. Exclut les entrepôts arrêtés automatiquement. | - id |
databrickssql |
transferObjectOwnership |
Un administrateur d’espace de travail transfère la propriété d’un tableau de bord, d’une requête ou d’une alerte vers un utilisateur actif via l’API de transfert de propriété d’objet. Le transfert de propriété effectué via l’interface utilisateur ou les API de mise à jour n’est pas capturé par cet événement de journal d’audit. | - newOwner- objectId- objectType |
databrickssql |
unfavoriteDashboard |
Un utilisateur supprime un tableau de bord de ses favoris. | - dashboardId |
databrickssql |
unfavoriteQuery |
Un utilisateur supprime une requête de ses favoris. | - queryId |
databrickssql |
updateAlert |
Un utilisateur effectue des mises à jour d’une alerte. ownerUserName est renseigné si la propriété de l’alerte est transférée à l’aide de l’API. |
- alertId- queryId- ownerUserName |
databrickssql |
updateNotificationDestination |
Un administrateur d’espace de travail effectue la mise à jour d’une destination de notification. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Un utilisateur effectue une mise à jour d’un widget de tableau de bord. Exclut les modifications apportées aux échelles d’axe. Voici quelques exemples des mises à jour applicables : - Passage à la taille ou au placement de widget - Ajout ou suppression de paramètres de widget |
- widgetId |
databrickssql |
updateDashboard |
Un utilisateur effectue une mise à jour d’une propriété de tableau de bord. Exclut les modifications apportées aux planifications et aux abonnements. Voici quelques exemples des mises à jour applicables : - Modification du nom du tableau de bord - Modification de l’entrepôt SQL - Modification des paramètres d’identification |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Un administrateur d’espace de travail met à jour les paramètres SQL d’un espace de travail. | - has_configured_data_access- has_explored_sql_warehouses- has_granted_permissions |
databrickssql |
updateQuery |
Un utilisateur effectue une mise à jour de requête. ownerUserName est renseigné si la propriété de la requête est transférée à l’aide de l’API. |
- queryId- ownerUserName |
databrickssql |
updateQueryDraft |
Un utilisateur effectue une mise à jour d’un brouillon de requête. | - queryId |
databrickssql |
updateQuerySnippet |
Un utilisateur effectue une mise à jour d’un extrait de requête. | - querySnippetId |
databrickssql |
updateVisualization |
Un utilisateur met à jour une visualisation à partir de l’éditeur SQL ou du tableau de bord. | - visualizationId |
Événements de supervision des données
Les événements dataMonitoring suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
dataMonitoring |
CreateMonitor |
L’utilisateur crée un moniteur. | - data_classification_config- full_table_name_arg- assets_dir- schedule- output_schema_name- notifications- inference_log |
dataMonitoring |
UpdateMonitor |
Un utilisateur effectue la mise à jour d’un moniteur. | - data_classification_config- table_name- full_table_name_arg- drift_metrics_table_name- dashboard_id- custom_metrics- assets_dir- monitor_version- profile_metrics_table_name- baseline_table_name- status- output_schema_name- inference_log- slicing_exprs |
dataMonitoring |
DeleteMonitor |
Un utilisateur supprime un moniteur. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
Un moniteur est actualisé, soit par planification, soit manuellement. | - full_table_name_arg |
Événements DBFS
Les tableaux suivants incluent les événements dbfs enregistrés au niveau de l’espace de travail.
Il existe deux types d’événements DBFS : les appels d’API et les événements opérationnels.
Événements de l’API DBFS
Les événements d’audit DBFS suivants sont enregistrés uniquement lorsqu’ils sont écrits via l’API REST DBFS.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
dbfs |
addBlock |
L’utilisateur ajoute un bloc de données au flux. Il est utilisé conjointement avec dbfs/create pour diffuser des données vers DBFS. | - handle- data_length |
dbfs |
create |
L’utilisateur ouvre un flux pour écrire un fichier dans le système DBFS. | - path- bufferSize- overwrite |
dbfs |
delete |
L’utilisateur supprime le fichier ou le répertoire du système DBFS. | - recursive- path |
dbfs |
mkdirs |
L’utilisateur crée un répertoire DBFS. | - path |
dbfs |
move |
Déplace un fichier d’un emplacement à un autre au sein du système DBFS. | - dst- source_path- src- destination_path |
dbfs |
put |
L’utilisateur charge un fichier à l’aide de la publication de formulaire en plusieurs parties dans le système DBFS. | - path- overwrite |
Événements opérationnels DBFS
Les événements d’audit DBFS suivants se produisent au niveau du plan de calcul.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
dbfs |
mount |
L’utilisateur crée un point de montage à un emplacement DBFS spécifique. | - mountPoint- owner |
dbfs |
unmount |
L’utilisateur supprime un point de montage à un emplacement DBFS spécifique. | - mountPoint |
Événements delta pipelines
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Un utilisateur modifie les autorisations sur un pipeline. | - shardId- targetUserId- resourceId- aclPermissionSet |
deltaPipelines |
create |
Un utilisateur crée un pipeline Delta Live Tables. | - allow_duplicate_names- clusters- configuration- continuous- development- dry_run- id- libraries- name- storage- target- channel- edition- photon |
deltaPipelines |
delete |
Un utilisateur supprime un pipeline Delta Live Tables. | - pipeline_id |
deltaPipelines |
edit |
Un utilisateur modifie un pipeline Delta Live Tables. | - allow_duplicate_names- clusters- configuration- continuous- development- expected_last_modified- id- libraries- name- pipeline_id- storage- target- channel- edition- photon |
deltaPipelines |
startUpdate |
Un utilisateur redémarre un pipeline Delta Live Tables. | - cause- full_refresh- job_task- pipeline_id |
deltaPipelines |
stop |
Un utilisateur arrête un pipeline Delta Live Tables. | - pipeline_id |
Événements du magasin de fonctionnalités
Les événements featureStore suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
featureStore |
addConsumer |
Un consommateur est ajouté au magasin de caractéristiques. | - features- job_run- notebook |
featureStore |
addDataSources |
Une source de données est ajoutée à une table de caractéristiques. | - feature_table- paths, tables |
featureStore |
addProducer |
Un producteur est ajouté à une table de caractéristiques. | - feature_table- job_run- notebook |
featureStore |
changeFeatureTableAcl |
Les autorisations sont modifiées dans une table de caractéristiques. | - aclPermissionSet- resourceId- shardName- targetUserId |
featureStore |
createFeatureTable |
Une table de caractéristiques est créée. | - description- name- partition_keys- primary_keys- timestamp_keys |
featureStore |
createFeatures |
Des caractéristiques sont créées dans une table de caractéristiques. | - feature_table- features |
featureStore |
deleteFeatureTable |
Une table de caractéristiques est supprimée. | - name |
featureStore |
deleteTags |
Les balises sont supprimées d’une table de caractéristiques. | - feature_table_id- keys |
featureStore |
getConsumers |
Un utilisateur effectue un appel pour obtenir les consommateurs dans une table de caractéristiques. | - feature_table |
featureStore |
getFeatureTable |
Un utilisateur effectue un appel pour obtenir des tables de caractéristiques. | - name |
featureStore |
getFeatureTablesById |
Un utilisateur effectue un appel pour obtenir des ID de tables de caractéristiques. | - ids |
featureStore |
getFeatures |
Un utilisateur effectue un appel pour obtenir des caractéristiques. | - feature_table- max_results |
featureStore |
getModelServingMetadata |
Un utilisateur effectue un appel pour obtenir les métadonnées de mise en service de modèles. | - feature_table_features |
featureStore |
getOnlineStore |
Un utilisateur effectue un appel pour obtenir les détails d’un magasin en ligne. | - cloud- feature_table- online_table- store_type |
featureStore |
getTags |
Un utilisateur effectue un appel pour obtenir les balises d’une table de caractéristiques. | - feature_table_id |
featureStore |
publishFeatureTable |
Une table de caractéristiques est publiée. | - cloud- feature_table- host- online_table- port- read_secret_prefix- store_type- write_secret_prefix |
featureStore |
searchFeatureTables |
Un utilisateur recherche des tables de caractéristiques. | - max_results- page_token- text |
featureStore |
setTags |
Des balises sont ajoutées à une table de caractéristiques. | - feature_table_id- tags |
featureStore |
updateFeatureTable |
Une table de caractéristiques est supprimée. | - description- name |
Événements de fichiers
Les événements filesystem suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
filesystem |
filesGet |
L’utilisateur télécharge un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. | - path- transferredSize |
filesystem |
filesPut |
L’utilisateur charge un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. | - path- receivedSize |
filesystem |
filesDelete |
L’utilisateur supprime un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. | - path |
filesystem |
filesHead |
L’utilisateur obtient des informations sur un fichier à l’aide de l’API Files ou de l’interface utilisateur des volumes. | - path |
Événements Génie
Les événements genie suivants sont enregistrés au niveau de l’espace de travail.
Remarque
Ce service n’est pas lié aux espaces AI/BI Genie.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
genie |
databricksAccess |
Un membre du personnel de Databricks est autorisé à accéder à un environnement client. | - duration- approver- reason- authType- user |
Événements d’informations d’identification Git
Les événements gitCredentials suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
gitCredentials |
getGitCredential |
Un utilisateur obtient des informations d’identification Git. | - id |
gitCredentials |
listGitCredentials |
Un utilisateur répertorie toutes les informations d’identification Git | Aucune |
gitCredentials |
deleteGitCredential |
Un utilisateur supprime des informations d’identification Git. | - id |
gitCredentials |
updateGitCredential |
Un utilisateur met à jour des informations d’identification Git. | - id- git_provider- git_username |
gitCredentials |
createGitCredential |
Un utilisateur crée des informations d’identification Git. | - git_provider- git_username |
Événements globaux liés aux scripts d’initialisation
Les événements globalInitScripts suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
globalInitScripts |
create |
Un administrateur d’espace de travail crée un script d’initialisation global. | - name- position- script-SHA256- enabled |
globalInitScripts |
update |
Un administrateur d’espace de travail met à jour un script d’initialisation global. | - script_id- name- position- script-SHA256- enabled |
globalInitScripts |
delete |
Un administrateur d’espace de travail supprime un script d’initialisation global. | - script_id |
Événements de groupes
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements groups suivants sont enregistrés au niveau de l’espace de travail. Ces actions sont liées aux groupes de liste de contrôle d’accès hérités. Pour connaître les actions liées aux groupes au niveau du compte et de l’espace de travail, consultez événements de compte et événements de compte au niveau du compte.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
groups |
addPrincipalToGroup |
Un administrateur ajoute un utilisateur à un groupe. | - user_name- parent_name |
groups |
createGroup |
Un administrateur crée un groupe. | - group_name |
groups |
getGroupMembers |
Un administrateur affiche les membres d’un groupe. | - group_name |
groups |
getGroups |
Un administrateur affiche une liste de groupes | aucune |
groups |
getInheritedGroups |
Un administrateur affiche les groupes hérités | Aucune |
groups |
removeGroup |
Un administrateur supprime un groupe. | - group_name |
Événements liés aux rôles IAM
L’événement iamRole suivant est enregistré au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
iamRole |
changeIamRoleAcl |
Un administrateur d’espace de travail modifie les autorisations d’un rôle IAM. | - targetUserId- shardName- resourceId- aclPermissionSet |
Événements d’ingestion
L’événement ingestion suivant est enregistré au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
ingestion |
proxyFileUpload |
Un utilisateur charge un fichier dans son espace de travail Azure Databricks. | - x-databricks-content-length-0- x-databricks-total-files |
Événements de pool d’instances
Les événements instancePools suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Un utilisateur modifie les autorisations d’un pool d’instance. | - shardName- resourceId- targetUserId- aclPermissionSet |
instancePools |
create |
Un utilisateur crée un pool d’instances. | - enable_elastic_disk- preloaded_spark_versions- idle_instance_autotermination_minutes- instance_pool_name- node_type_id- custom_tags- max_capacity- min_idle_instances- aws_attributes |
instancePools |
delete |
Un utilisateur supprime un pool d’instances. | - instance_pool_id |
instancePools |
edit |
Un utilisateur modifie un pool d’instances. | - instance_pool_name- idle_instance_autotermination_minutes- min_idle_instances- preloaded_spark_versions- max_capacity- enable_elastic_disk- node_type_id- instance_pool_id- aws_attributes |
Événements de travail
Les événements jobs suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
jobs |
cancel |
Une exécution de travail est annulée. | - run_id |
jobs |
cancelAllRuns |
Un utilisateur annule toutes les exécutions sur un travail. | - job_id |
jobs |
changeJobAcl |
Un utilisateur met à jour les autorisations sur un travail. | - shardName- aclPermissionSet- resourceId- targetUserId |
jobs |
create |
Un utilisateur crée un travail. | - spark_jar_task- email_notifications- notebook_task- spark_submit_task- timeout_seconds- libraries- name- spark_python_task- job_type- new_cluster- existing_cluster_id- max_retries- schedule- run_as |
jobs |
delete |
Un utilisateur supprime un travail. | - job_id |
jobs |
deleteRun |
Un utilisateur supprime une exécution de travail. | - run_id |
jobs |
getRunOutput |
Un utilisateur effectue un appel d’API pour obtenir une sortie d’exécution. | - run_id- is_from_webapp |
jobs |
repairRun |
Un utilisateur répare une exécution de travail. | - run_id- latest_repair_id- rerun_tasks |
jobs |
reset |
Un travail est réinitialisé. | - job_id- new_settings |
jobs |
resetJobAcl |
Un utilisateur demande la modification des autorisations d’un travail. | - grants- job_id |
jobs |
runCommand |
Disponible lorsque les journaux d’audit détaillés sont activés. Émis après l’exécution d’une commande dans un notebook. Une commande correspond à une cellule dans un notebook. | - jobId- runId- notebookId- executionTime- status- commandId- commandText |
jobs |
runFailed |
L’exécution d’un travail échoue. | - jobClusterType- jobTriggerType- jobId- jobTaskType- runId- jobTerminalState- idInJob- orgId- runCreatorUserName |
jobs |
runNow |
Un utilisateur déclenche une exécution de travail à la demande. | - notebook_params- job_id- jar_params- workflow_context |
jobs |
runStart |
Émis lorsqu’une exécution de travail démarre après la validation et la création du cluster. Les paramètres de requête émis par cet événement dépendent du type de tâches dans le travail. Les paramètres répertoriés peuvent également inclure : - dashboardId (pour une tâche de tableau de bord SQL)- filePath (pour une tâche de fichier SQL)- notebookPath (pour une tâche de notebook)- mainClassName (pour une tâche Spark JAR)- pythonFile (pour une tâche Spark JAR)- projectDirectory (pour une tâche dbt)- commands (pour une tâche dbt)- packageName (pour une tâche Python avec fichier Wheel)- entryPoint (pour une tâche Python avec fichier Wheel)- pipelineId (pour une tâche de pipeline)- queryIds (pour une tâche de requête SQL)- alertId (pour une tâche d’alerte SQL) |
- taskDependencies- multitaskParentRunId- orgId- idInJob- jobId- jobTerminalState- taskKey- jobTriggerType- jobTaskType- runId- runCreatorUserName |
jobs |
runSucceeded |
Une exécution de travail réussit. | - idInJob- jobId- jobTriggerType- orgId- runId- jobClusterType- jobTaskType- jobTerminalState- runCreatorUserName |
jobs |
runTriggered |
Une planification de travail est déclenchée automatiquement en fonction de sa planification ou de son déclencheur. | - jobId- jobTriggeredType- runId |
jobs |
sendRunWebhook |
Un webhook est envoyé lorsque le travail commence, se termine ou échoue. | - orgId- jobId- jobWebhookId- jobWebhookEvent- runId |
jobs |
setTaskValue |
Un utilisateur définit des valeurs pour une tâche. | - run_id- key |
jobs |
submitRun |
Un utilisateur envoie une exécution ponctuelle via l’API. | - shell_command_task- run_name- spark_python_task- existing_cluster_id- notebook_task- timeout_seconds- libraries- new_cluster- spark_jar_task |
jobs |
update |
Un utilisateur modifie les paramètres d’un travail. | - job_id- fields_to_remove- new_settings- is_from_dlt |
Marché des événements de consommation
Les événements marketplaceConsumer suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Un utilisateur obtient l’accès à un produit de données via Databricks Marketplace. | - listing_id- listing_name- share_name- catalog_name- request_context : tableau d’informations sur le compte et le metastore qui ont eu accès au produit de données |
marketplaceConsumer |
requestDataProduct |
Un utilisateur demande l’accès à un produit de données qui nécessite l’approbation du fournisseur. | - listing_id- listing_name- catalog_name- request_context : tableau d’informations sur le compte et le metastore qui demandent accès au produit de données |
Événements du fournisseur de la Place de marché
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements marketplaceProvider suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
marketplaceProvider |
createListing |
Un administrateur de metastore crée une liste dans son profil de fournisseur. | - listing : tableau de détails sur la description- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
updateListing |
Un administrateur de metastore effectue une mise à jour d’une description dans son profil de fournisseur. | - id- listing : tableau de détails sur la description- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
deleteListing |
Un administrateur de metastore supprime une liste dans son profil de fournisseur. | - id- request_context : tableau de détails sur le compte et le metastore du fournisseur |
marketplaceProvider |
updateConsumerRequestStatus |
Un administrateur de metastore approuve ou refuse une demande de produit de données. | - listing_id- request_id- status- reason- share : tableau d’informations sur le partage- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
createProviderProfile |
Un administrateur de metastore crée un profil de fournisseur. | - provider : tableau d’informations sur le fournisseur- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
updateProviderProfile |
Un administrateur de metastore effectue une mise à jour dans son profil de fournisseur. | - id- provider : tableau d’informations sur le fournisseur- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
deleteProviderProfile |
Un administrateur de metastore supprime son profil de fournisseur. | - id- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
marketplaceProvider |
uploadFile |
Un fournisseur charge un fichier dans son profil de fournisseur. | - request_context : tableau d’informations sur le compte et le metastore du fournisseur- marketplace_file_type- display_name- mime_type- file_parent : Tableau des détails du parent de fichier |
marketplaceProvider |
deleteFile |
Un fournisseur supprime un fichier de son profil de fournisseur. | - file_id- request_context : tableau d’informations sur le compte et le metastore du fournisseur |
Artefacts MLflow avec événements ACL
Les événements mlflowAcledArtifact suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Un utilisateur effectue un appel pour lire un artefact. | - artifactLocation- experimentId- runId |
mlflowAcledArtifact |
writeArtifact |
Un utilisateur effectue un appel pour écrire dans un artefact. | - artifactLocation- experimentId- runId |
Événements d’expérience MLflow
Les événements mlflowExperiment suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Un utilisateur crée une expérience MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Un utilisateur supprime une expérience MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
moveMlflowExperiment |
Un utilisateur déplace une expérience MLflow. | - newPath- experimentId- oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Un utilisateur restaure une expérience MLflow. | - experimentId- path- experimentName |
mlflowExperiment |
renameMlflowExperiment |
Un utilisateur renomme une expérience MLflow. | - oldName- newName- experimentId- parentPath |
Événements de registre de modèles MLflow
Les événements mlflowModelRegistry suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Un utilisateur approuve une demande de transition de phase pour une version de modèle. | - name- version- stage- archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Un utilisateur met à jour les autorisations pour un modèle inscrit. | - registeredModelId- userId |
modelRegistry |
createComment |
Un utilisateur publie un commentaire sur une version de modèle. | - name- version |
modelRegistry |
createModelVersion |
Un utilisateur crée une version de modèle. | - name- source- run_id- tags- run_link |
modelRegistry |
createRegisteredModel |
Un utilisateur crée un modèle inscrit | - name- tags |
modelRegistry |
createRegistryWebhook |
L’utilisateur crée un webhook pour les événements du Registre de modèles. | - orgId- registeredModelId- events- description- status- creatorId- httpUrlSpec |
modelRegistry |
createTransitionRequest |
Un utilisateur crée une demande de transition de phase pour une version de modèle. | - name- version- stage |
modelRegistry |
deleteComment |
Un utilisateur supprime un commentaire sur une version de modèle. | - id |
modelRegistry |
deleteModelVersion |
Un utilisateur supprime une version de modèle. | - name- version |
modelRegistry |
deleteModelVersionTag |
Un utilisateur supprime une balise de version de modèle. | - name- version- key |
modelRegistry |
deleteRegisteredModel |
Un utilisateur supprime un modèle inscrit | - name |
modelRegistry |
deleteRegisteredModelTag |
Un utilisateur supprime la balise d’un modèle inscrit. | - name- key |
modelRegistry |
deleteRegistryWebhook |
L’utilisateur supprime un webhook du Registre de modèles. | - orgId- webhookId |
modelRegistry |
deleteTransitionRequest |
Un utilisateur annule une demande de transition de phase de version du modèle. | - name- version- stage- creator |
modelRegistry |
finishCreateModelVersionAsync |
Copie asynchrone de modèle terminée. | - name- version |
modelRegistry |
generateBatchInferenceNotebook |
Le notebook d’inférence par lots est généré automatiquement. | - userId- orgId- modelName- inputTableOpt- outputTablePathOpt- stageOrVersion- modelVersionEntityOpt- notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Le notebook d’inférence pour un pipeline Delta Live Tables est généré automatiquement. | - userId- orgId- modelName- inputTable- outputTable- stageOrVersion- notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Un utilisateur obtient un URI pour télécharger la version du modèle. | - name- version |
modelRegistry |
getModelVersionSignedDownloadUri |
Un utilisateur obtient un URI pour télécharger une version de modèle signée. | - name- version- path |
modelRegistry |
listModelArtifacts |
Un utilisateur effectue un appel pour répertorier les artefacts d’un modèle. | - name- version- path- page_token |
modelRegistry |
listRegistryWebhooks |
Un utilisateur effectue un appel pour répertorier tous les webhooks du Registre dans le modèle. | - orgId- registeredModelId |
modelRegistry |
rejectTransitionRequest |
Un utilisateur rejette une demande de transition de phase pour une version de modèle. | - name- version- stage |
modelRegistry |
renameRegisteredModel |
Un utilisateur renomme un modèle inscrit | - name- new_name |
modelRegistry |
setEmailSubscriptionStatus |
Un utilisateur met à jour l’état de l’abonnement par e-mail pour un modèle inscrit | |
modelRegistry |
setModelVersionTag |
Un utilisateur définit une balise de version de modèle. | - name- version- key- value |
modelRegistry |
setRegisteredModelTag |
Un utilisateur définit une balise de version de modèle. | - name- key- value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Un utilisateur met à jour son état pour les notifications par e-mail pour l’ensemble du registre. | - orgId- userId- subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Un utilisateur teste le webhook du Registre de modèles. | - orgId- webhookId |
modelRegistry |
transitionModelVersionStage |
Un utilisateur obtient la liste de toutes les demandes de transition de phase ouverte pour la version du modèle. | - name- version- stage- archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Un webhook du Registre de modèles est déclenché par un événement. | - orgId- registeredModelId- events- status |
modelRegistry |
updateComment |
Un utilisateur publie une modification d’un commentaire sur une version de modèle. | - id |
modelRegistry |
updateRegistryWebhook |
Un utilisateur met à jour un webhook du Registre de modèles. | - orgId- webhookId |
Événements de mise en service de modèles
Les événements serverlessRealTimeInference suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
L’utilisateur met à jour les autorisations pour un point de terminaison d’inférence. | - shardName- targetUserId- resourceId- aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
L’utilisateur crée un point de terminaison de service de modèle. | - name- config |
serverlessRealTimeInference |
deleteServingEndpoint |
L’utilisateur supprime un point de terminaison de service de modèle. | - name |
serverlessRealTimeInference |
disable |
L’utilisateur désactive le service de modèle pour un modèle inscrit. | - registered_mode_name |
serverlessRealTimeInference |
enable |
L’utilisateur active le service de modèle pour un modèle inscrit. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Les utilisateurs effectuent un appel pour obtenir l’aperçu du schéma de requête. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
L’utilisateur met à jour un point de terminaison de service de modèle. | - name- served_models- traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
Un utilisateur met à jour les limites de taux pour un point de terminaison d’inférence. Les limites de taux s’appliquent uniquement aux API Foundation Model avec paiement par jeton et aux points de terminaison de modèle externe. | - name- rate_limits |
Événements de notebook
Les événements notebook suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
notebook |
attachNotebook |
Un notebook est attaché à un cluster. | - path- clusterId- notebookId |
notebook |
cloneNotebook |
Un utilisateur clone un notebook. | - notebookId- path- clonedNotebookId- destinationPath |
notebook |
createNotebook |
Un notebook est créé. | - notebookId- path |
notebook |
deleteFolder |
Un dossier de notebook est supprimé. | - path |
notebook |
deleteNotebook |
Un notebook est supprimé. | - notebookId- notebookName- path |
notebook |
detachNotebook |
Un notebook est détaché d’un cluster. | - notebookId- clusterId- path |
notebook |
downloadLargeResults |
Un utilisateur télécharge des résultats de requête trop volumineux pour être affichés dans le notebook. | - notebookId- notebookFullPath |
notebook |
downloadPreviewResults |
Un utilisateur télécharge les résultats de la requête. | - notebookId- notebookFullPath |
notebook |
importNotebook |
Un utilisateur importe un notebook. | - path |
notebook |
moveFolder |
Un dossier de notebook est déplacé d’un emplacement à un autre. | - oldPath- newPath- folderId |
notebook |
moveNotebook |
Un notebook est déplacé d’un emplacement à un autre. | - newPath- oldPath- notebookId |
notebook |
renameNotebook |
Un notebook est renommé. | - newName- oldName- parentPath- notebookId |
notebook |
restoreFolder |
Un dossier supprimé est restauré. | - path |
notebook |
restoreNotebook |
Un notebook supprimé est restauré. | - path- notebookId- notebookName |
notebook |
runCommand |
Disponible lorsque les journaux d’audit détaillés sont activés. Émis après l’exécution d’une commande par Databricks dans un notebook. Une commande correspond à une cellule dans un notebook.executionTime se mesure en secondes. |
- notebookId- executionTime- status- commandId- commandText- commandLanguage |
notebook |
takeNotebookSnapshot |
Des instantanés de notebook sont pris lorsque le service de travail ou mlflow est exécuté. | - path |
Événements Partner Connect
Les événements partnerHub suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Un administrateur d’espace de travail configure une connexion à une solution partenaire. | - partner_name |
partnerHub |
deletePartnerConnection |
Un administrateur d’espace de travail supprime une connexion partenaire. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Un administrateur d’espace de travail télécharge le fichier de connexion partenaire. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Un administrateur d’espace de travail configure des ressources pour une connexion partenaire. | - partner_name |
Événements d’optimisation prédictive
Les événements predictiveOptimization suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
predictiveOptimization |
PutMetrics |
Enregistré lorsque l’optimisation prédictive met à jour les métriques de table et de charge de travail afin que le service puisse planifier plus intelligemment les opérations d’optimisation. | - table_metrics_list- start_time- end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Un administrateur de compte active ou désactive l’optimisation prédictive pour un metastore. | - metastore_id- enable |
Événements du service d’historique distant
Les événements remoteHistoryService suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
L’utilisateur ajoute des informations d’identification Github | Aucun |
remoteHistoryService |
deleteUserGitHubCredentials |
L’utilisateur supprime les informations d’identification Github | Aucun |
remoteHistoryService |
updateUserGitHubCredentials |
L’utilisateur met à jour les informations d’identification Github | Aucune |
Événements de dossier Git
Les événements repos suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
repos |
checkoutBranch |
Un utilisateur extrait une branche sur le référentiel. | - id- branch |
repos |
commitAndPush |
Un utilisateur commite et envoie (push) vers un référentiel. | - id- message- files- checkSensitiveToken |
repos |
createRepo |
Un utilisateur crée un référentiel dans l’espace de travail | - url- provider- path |
repos |
deleteRepo |
Un utilisateur supprime un référentiel. | - id |
repos |
discard |
Un utilisateur ignore un commit sur un référentiel. | - id- file_paths |
repos |
getRepo |
Un utilisateur effectue un appel pour obtenir des informations sur un seul référentiel. | - id |
repos |
listRepos |
Un utilisateur effectue un appel pour obtenir tous les référentiels sur lesquels il dispose d’autorisations de gestion. | - path_prefix- next_page_token |
repos |
pull |
Un utilisateur extrait les derniers commits d’un référentiel. | - id |
repos |
updateRepo |
Un utilisateur met à jour le référentiel vers une autre branche ou balise, ou vers le dernier commit sur la même branche. | - id- branch- tag- git_url- git_provider |
Événements liés aux secrets
Les événements secrets suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
secrets |
createScope |
L’utilisateur crée une étendue de secrets. | - scope- initial_manage_principal- scope_backend_type |
secrets |
deleteAcl |
L’utilisateur supprime les listes de contrôle d’accès pour une étendue de secrets. | - scope- principal |
secrets |
deleteScope |
L’utilisateur supprime une étendue de secrets. | - scope |
secrets |
deleteSecret |
L’utilisateur supprime un secret d’une étendue. | - key- scope |
secrets |
getAcl |
L’utilisateur obtient des listes de contrôle d’accès pour une étendue de secrets. | - scope- principal |
secrets |
getSecret |
L’utilisateur obtient un secret à partir d’une étendue. | - key- scope |
secrets |
listAcls |
L’utilisateur effectue un appel pour répertorier les listes de contrôle d’accès pour une étendue de secrets. | - scope |
secrets |
listScopes |
L’utilisateur effectue un appel pour répertorier les étendues de secrets | Aucune |
secrets |
listSecrets |
L’utilisateur effectue un appel pour répertorier les secrets dans une étendue. | - scope |
secrets |
putAcl |
L’utilisateur modifie les listes de contrôle d’accès pour une étendue de secret. | - scope- principal- permission |
secrets |
putSecret |
L’utilisateur ajoute ou modifie un secret dans une étendue. | - string_value- key- scope |
Événements d’accès à la table SQL
Notes
Le service sqlPermissions inclut des événements liés au contrôle d’accès à une table de metastore Hive héritée. Databricks vous recommande de mettre à niveau les tables gérées par le metastore Hive vers le metastore Unity Catalog.
Les événements sqlPermissions suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
L’administrateur de l’espace de travail ou le propriétaire d’un objet transfère la propriété de l’objet. | - securable- principal |
sqlPermissions |
createSecurable |
L’utilisateur crée un objet sécurisable. | - securable |
sqlPermissions |
denyPermission |
Le propriétaire de l’objet refuse les privilèges sur un objet sécurisable. | - permission |
sqlPermissions |
grantPermission |
Le propriétaire de l’objet accorde l’autorisation sur un objet sécurisable. | - permission |
sqlPermissions |
removeAllPermissions |
L’utilisateur supprime un objet sécurisable. | - securable |
sqlPermissions |
renameSecurable |
L’utilisateur renomme un objet sécurisable. | - before- after |
sqlPermissions |
requestPermissions |
L’utilisateur demande des autorisations sur un objet sécurisable. | - requests |
sqlPermissions |
revokePermission |
Le propriétaire de l’objet révoque les autorisations sur son objet sécurisable. | - permission |
sqlPermissions |
showPermissions |
L’utilisateur affiche les autorisations d’un objet sécurisable. | - securable- principal |
Événements SSH
Les événements ssh suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
ssh |
login |
Connexion de l’agent ssh au pilote Spark. | - containerId- userName- port- publicKey- instanceId |
ssh |
logout |
Déconnexion de l’agent ssh à partir du pilote Spark. | - userName- containerId- instanceId |
Événements de recherche vectorielle
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements vectorSearch suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
vectorSearch |
createEndpoint |
L’utilisateur crée un point de terminaison de recherche vectorielle. | - name- endpoint_type |
vectorSearch |
deleteEndpoint |
L’utilisateur supprime un point de terminaison de recherche vectorielle. | - name |
vectorSearch |
createVectorIndex |
L’utilisateur crée un index de recherche vectorielle. | - name- endpoint_name- primary_key- index_type- delta_sync_index_spec- direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
L’utilisateur supprime un index de recherche vectorielle. | - name- endpoint_name- delete_embedding_writeback_table |
Événements de terminal web
Les événements webTerminal suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
webTerminal |
startSession |
L’utilisateur démarre des sessions de terminal web. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
webTerminal |
closeSession |
L’utilisateur ferme une session de terminal web. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
Événements d’espace de travail
Les événements workspace suivants sont enregistrés au niveau de l’espace de travail.
| Service | Nom de l’action | Description | Paramètres de la demande |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Les autorisations d’accès à l’espace de travail sont modifiées. | - shardName- targetUserId- aclPermissionSet- resourceId |
workspace |
deleteSetting |
Un paramètre est supprimé de l’espace de travail. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName |
workspace |
fileCreate |
L’utilisateur crée un fichier dans l’espace de travail. | - path |
workspace |
fileDelete |
L’utilisateur supprime un fichier dans l’espace de travail. | - path |
workspace |
fileEditorOpenEvent |
L’utilisateur ouvre l’éditeur de fichiers. | - notebookId- path |
workspace |
getRoleAssignment |
L’utilisateur obtient les rôles d’utilisateur d’un espace de travail. | - account_id- workspace_id |
workspace |
mintOAuthAuthorizationCode |
Enregistré lorsque le code d’autorisation OAuth interne est frappé au niveau de l’espace de travail. | - client_id |
workspace |
mintOAuthToken |
Le jeton OAuth est frappé pour l’espace de travail. | - grant_type- scope- expires_in- client_id |
workspace |
moveWorkspaceNode |
Un administrateur d’espace de travail déplace un nœud d’espace de travail. | - destinationPath- path |
workspace |
purgeWorkspaceNodes |
Un administrateur d’espace de travail vide des nœuds d’un espace de travail. | - treestoreId |
workspace |
reattachHomeFolder |
Un dossier d’accueil existant est rattaché pour un utilisateur qui est rajouté à l’espace de travail. | - path |
workspace |
renameWorkspaceNode |
Un administrateur d’espace de travail renomme des nœuds d’un espace de travail. | - path- destinationPath |
workspace |
unmarkHomeFolder |
Les attributs spéciaux du dossier d’accueil sont supprimés lorsqu’un utilisateur est supprimé de l’espace de travail. | - path |
workspace |
updateRoleAssignment |
Un administrateur d’espace de travail met à jour le rôle d’un utilisateur d’espace de travail. | - account_id- workspace_id- principal_id |
workspace |
updatePermissionAssignment |
Un administrateur d’espace de travail ajoute un principal à l’espace de travail. | - principal_id- permissions |
workspace |
setSetting |
Un administrateur d’espace de travail configure un paramètre d’espace de travail. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
workspace |
workspaceConfEdit |
L’administrateur d’espace de travail met à jour un paramètre, par exemple en activant des journaux d’audit détaillés. | - workspaceConfKeys- workspaceConfValues |
workspace |
workspaceExport |
L’utilisateur exporte un notebook à partir d’un espace de travail. | - workspaceExportDirectDownload- workspaceExportFormat- notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Le client OAuth est authentifié dans le service d’espace de travail. | - user |
Événements d’utilisation facturables
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements accountBillableUsage suivants sont enregistrés au niveau du compte.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
L’utilisateur a accédé à une utilisation facturable agrégée (utilisation par jour) pour le compte via la fonctionnalité Graphique d’utilisation. | - account_id- window_size- start_time- end_time- meter_name- workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
L’utilisateur a accédé à une utilisation facturable détaillée (utilisation pour chaque cluster) pour le compte via la fonctionnalité Téléchargement d’utilisation. | - account_id- start_month- end_month- with_pii |
Événements de compte au niveau du compte
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements accounts suivants sont enregistrés au niveau du compte.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Un client OAuth est authentifié. | - endpoint |
accounts |
accountIpAclsValidationFailed |
La validation des autorisations IP échoue. Retourne statusCode 403. | - sourceIpAddress- user: connecté en tant qu’adresse e-mail |
accounts |
activateUser |
Un utilisateur est réactivé après avoir été désactivé. Consultez Désactiver les utilisateurs dans compte. | - targetUserName- endpoint- targetUserId |
accounts |
add |
Un utilisateur est ajouté au compte Azure Databricks. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Un utilisateur est ajouté à un groupe au niveau du compte. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
addPrincipalsToGroup |
Des utilisateurs sont ajoutés à un groupe au niveau du compte à l’aide du provisionnement SCIM. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
createGroup |
Un groupe au niveau du compte est créé. | - endpoint- targetGroupId- targetGroupName |
accounts |
deactivateUser |
Un utilisateur est désactivé. Consultez Désactiver les utilisateurs dans compte. | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Un utilisateur est supprimé du compte Azure Databricks. | - targetUserId- targetUserName- endpoint |
accounts |
deleteSetting |
L’administrateur de compte supprime un paramètre du compte Azure Databricks. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
garbageCollectDbToken |
Un utilisateur exécute une commande « garbage collect » sur des jetons arrivés à expiration. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
L’utilisateur génère un jeton à partir des paramètres utilisateur ou lorsque le service génère le jeton. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
login |
Un utilisateur se connecte à la console de compte. | - user |
accounts |
logout |
Un utilisateur se déconnecte de la console de compte. | - user |
accounts |
oidcBrowserLogin |
Un utilisateur se connecte à son compte avec le workflow de navigateur OpenID Connect. | - user |
accounts |
oidcTokenAuthorization |
Un jeton OIDC est authentifié pour une connexion d’administrateur de compte. | - user |
accounts |
removeAccountAdmin |
Un administrateur de compte supprime les autorisations d’administrateur de compte d’un autre utilisateur. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Un groupe est supprimé du compte. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Les utilisateurs sont supprimés d’un groupe au niveau du compte. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
removePrincipalsFromGroup |
Des utilisateurs sont supprimés d’un groupe au niveau du compte à l’aide du provisionnement SCIM. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
setAccountAdmin |
Un administrateur de compte attribue le rôle d’administrateur de compte à un autre utilisateur. | - targetUserName- endpoint- targetUserId |
accounts |
setSetting |
Un administrateur de compte met à jour un paramètre au niveau du compte. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
tokenLogin |
L’utilisateur se connecte à Databricks à l’aide d’un jeton JWT. | - tokenId- user |
accounts |
updateUser |
Un administrateur de compte met à jour un compte d’utilisateur. | - targetUserName- endpoint- targetUserId |
accounts |
updateGroup |
Un administrateur de compte met à jour un groupe au niveau du compte. | - endpoint- targetGroupId- targetGroupName |
accounts |
validateEmail |
Lorsqu’un utilisateur valide son e-mail après la création du compte. | - endpoint- targetUserName- targetUserId |
Événements de contrôle d’accès au niveau du compte
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
L’événement accountsAccessControl suivant est enregistré au niveau du compte.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
Lorsqu’un ensemble de règles est modifié. | - account_id- name- rule_set |
Événements de gestion de compte
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements accountsManager suivants sont enregistrés au niveau du compte. Ces événements se rapportent aux configurations effectuées par les administrateurs de compte dans la console de compte.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
L’administrateur de compte a créé une configuration de connectivité réseau. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
L’administrateur de compte demande des détails sur une configuration de connectivité réseau. | - account_id- network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
L’administrateur de compte répertorie toutes les configurations de connectivité réseau dans le compte. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
L’administrateur de compte a supprimé une configuration de connectivité réseau. | - account_id- network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
L’administrateur de compte a créé une règle de point de terminaison privé. | - account_id- network_connectivity_config_id- azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
L’administrateur de compte demande des détails sur une règle de point de terminaison privé. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
L’administrateur de compte répertorie toutes les règles de point de terminaison privé sous une configuration de connectivité réseau. | - account_id- network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
L’administrateur de compte a supprimé une règle de point de terminaison privé. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
L’administrateur de compte a mis à jour une règle de point de terminaison privé. | - account_id- network_connectivity_config_id- rule_id- azure_private_endpoint_rule |
Événements de stratégie budgétaire
Les événements suivants budgetPolicyCentral sont enregistrés au niveau du compte et sont liés aux stratégies budgétaires. Consultez l’utilisation serverless de l’attribut avec des stratégies budgétaires.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
L’administrateur de l’espace de travail ou l’administrateur de facturation crée une stratégie budgétaire. Le nouveau policy_id est connecté à la response colonne. |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
L’administrateur de l’espace de travail, l’administrateur de facturation ou le gestionnaire de stratégies met à jour une stratégie budgétaire. | - policy.policy_id- policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
L’administrateur de l’espace de travail, l’administrateur de facturation ou le gestionnaire de stratégies supprime une stratégie budgétaire. | - policy_id |
Événements Unity Catalog
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements de diagnostic suivants sont liés à Unity Catalog. Les événements Delta Sharing sont également enregistrés sous le service unityCatalog. Pour les événements de partage Delta, consultez l’article sur les événements de partage Delta. Les événements d’audit Unity Catalog peuvent être consignés au niveau de l’espace de travail ou au niveau du compte en fonction de l’événement.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
unityCatalog |
createMetastore |
L’administrateur de compte crée un metastore. | - name- storage_root- workspace_id- metastore_id |
unityCatalog |
getMetastore |
L’administrateur de compte demande l’ID du metastore. | - id- workspace_id- metastore_id |
unityCatalog |
getMetastoreSummary |
L’administrateur de compte demande des détails sur un metastore. | - workspace_id- metastore_id |
unityCatalog |
listMetastores |
L’administrateur de compte demande une liste de tous les metastores dans un compte. | - workspace_id |
unityCatalog |
updateMetastore |
L’administrateur de compte effectue la mise à jour d’un metastore. | - id- owner- workspace_id- metastore_id |
unityCatalog |
deleteMetastore |
L’administrateur de compte supprime un metastore. | - id- force- workspace_id- metastore_id |
unityCatalog |
updateMetastoreAssignment |
L’administrateur de compte effectue une mise à jour de l’affectation d’espace de travail d’un metastore. | - workspace_id- metastore_id- default_catalog_name |
unityCatalog |
createExternalLocation |
L’administrateur de compte crée un emplacement externe. | - name- skip_validation- url- credential_name- workspace_id- metastore_id |
unityCatalog |
getExternalLocation |
L’administrateur de compte demande des détails sur un emplacement externe. | - name_arg- include_browse- workspace_id- metastore_id |
unityCatalog |
listExternalLocations |
L’administrateur de compte demande une liste de tous les emplacements externes d’un compte. | - url- max_results- workspace_id- metastore_id |
unityCatalog |
updateExternalLocation |
L’administrateur de compte effectue la mise à jour d’un emplacement externe. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteExternalLocation |
L’administrateur de compte supprime un emplacement externe. | - name_arg- force- workspace_id- metastore_id |
unityCatalog |
createCatalog |
L’utilisateur crée un catalogue. | - name- comment- workspace_id- metastore_id |
unityCatalog |
deleteCatalog |
L’utilisateur supprime un catalogue. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getCatalog |
L’utilisateur demande des détails sur un catalogue. | - name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
updateCatalog |
L’utilisateur met à jour un catalogue. | - name_arg- isolation_mode- comment- workspace_id- metastore_id |
unityCatalog |
listCatalog |
L’utilisateur effectue un appel pour répertorier tous les catalogues dans le metastore. | - name_arg- workspace_id- metastore_id |
unityCatalog |
createSchema |
L’utilisateur crée un schéma. | - name- catalog_name- comment- workspace_id- metastore_id |
unityCatalog |
deleteSchema |
L’utilisateur supprime un schéma. | - full_name_arg- force- workspace_id- metastore_id |
unityCatalog |
getSchema |
L’utilisateur demande des détails sur un schéma. | - full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
listSchema |
L’utilisateur demande la liste de tous les schémas d’un catalogue. | - catalog_name |
unityCatalog |
updateSchema |
L’utilisateur met à jour un schéma. | - full_name_arg- name- workspace_id- metastore_id- comment |
unityCatalog |
createStagingTable |
- name- catalog_name- schema_name- workspace_id- metastore_id |
|
unityCatalog |
createTable |
Un utilisateur crée une table. Les paramètres de requête diffèrent en fonction du type de table créé. | - name- data_source_format- catalog_name- schema_name- storage_location- columns- dry_run- table_type- view_dependencies- view_definition- sql_path- comment |
unityCatalog |
deleteTable |
L’utilisateur supprime une table. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
getTable |
L’utilisateur demande des détails sur une table. | - include_delta_metadata- full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
L’utilisateur effectue un appel pour répertorier toutes les tables d’un schéma. | - catalog_name- schema_name- workspace_id- metastore_id- include_browse |
unityCatalog |
listTableSummaries |
L’utilisateur obtient un tableau de résumés pour les tables d’un schéma et d’un catalogue dans le metastore. | - catalog_name- schema_name_pattern- workspace_id- metastore_id |
unityCatalog |
updateTables |
Un utilisateur effectue la mise à jour d’une table. Les paramètres de requête affichés varient en fonction du type de mise à jour de table effectuée. | - full_name_arg- table_type- table_constraint_list- data_source_format- columns- dependent- row_filter- storage_location- sql_path- view_definition- view_dependencies- owner- comment- workspace_id- metastore_id |
unityCatalog |
createStorageCredential |
L’administrateur de compte crée des informations d’identification de stockage. Vous pouvez voir un paramètre de requête supplémentaire basé sur les informations d’identification de votre fournisseur de cloud. | - name- comment- workspace_id- metastore_id |
unityCatalog |
listStorageCredentials |
L’administrateur de compte effectue un appel pour répertorier toutes les informations d’identification de stockage dans le compte. | - workspace_id- metastore_id |
unityCatalog |
getStorageCredential |
L’administrateur de compte demande des détails sur des informations d’identification de stockage. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateStorageCredential |
L’administrateur de compte effectue une mise à jour d’informations d’identification de stockage. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteStorageCredential |
L’administrateur de compte supprime des informations d’identification de stockage. | - name_arg- workspace_id- metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Journalisé chaque fois qu’une information d’identification temporaire est accordée pour une table. Vous pouvez utiliser cet événement pour déterminer qui a interrogé quoi et quand. | - credential_id- credential_type- is_permissions_enforcing_client- table_full_name- operation- table_id- workspace_id- table_url- metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Journalisé chaque fois qu’une information d’identification temporaire est accordée pour un chemin d’accès. | - url- operation- make_path_only_parent- workspace_id- metastore_id |
unityCatalog |
getPermissions |
L’utilisateur effectue un appel pour obtenir les détails d’autorisation d’un objet sécurisable. Cet appel ne renvoie pas les autorisations héritées, mais uniquement les autorisations explicitement attribuées. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getEffectivePermissions |
L'utilisateur fait un appel pour obtenir tous les détails de l'autorisation pour un objet sécurisable. Un appel de permissions efficace renvoie à la fois les permissions attribuées explicitement et les permissions héritées. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
updatePermissions |
L’utilisateur met à jour les autorisations sur un objet sécurisable. | - securable_type- changes- securable_full_name- workspace_id- metastore_id |
unityCatalog |
metadataSnapshot |
L’utilisateur interroge les métadonnées d’une version de table précédente. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
L’utilisateur interroge les métadonnées et les autorisations d’une version de table précédente. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
updateMetadataSnapshot |
L’utilisateur met à jour les métadonnées d’une version de table précédente. | - table_list_snapshots- schema_list_snapshots- workspace_id- metastore_id |
unityCatalog |
getForeignCredentials |
L’utilisateur effectue un appel pour obtenir des détails sur une clé étrangère. | - securables- workspace_id- metastore_id |
unityCatalog |
getInformationSchema |
L’utilisateur effectue un appel pour obtenir des détails sur un schéma. | - table_name- page_token- required_column_names- row_set_type- required_column_names- workspace_id- metastore_id |
unityCatalog |
createConstraint |
L’utilisateur crée une contrainte pour une table. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
deleteConstraint |
L’utilisateur supprime une contrainte pour une table. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
createPipeline |
L’utilisateur crée un pipeline Unity Catalog. | - target_catalog_name- has_workspace_definition- id- workspace_id- metastore_id |
unityCatalog |
updatePipeline |
L’utilisateur met à jour un pipeline Unity Catalog. | - id_arg- definition_json- id- workspace_id- metastore_id |
unityCatalog |
getPipeline |
L’utilisateur demande des détails sur un pipeline Unity Catalog. | - id- workspace_id- metastore_id |
unityCatalog |
deletePipeline |
L’utilisateur supprime un pipeline Unity Catalog. | - id- workspace_id- metastore_id |
unityCatalog |
deleteResourceFailure |
La suppression de la ressource échoue | Aucune |
unityCatalog |
createVolume |
L’utilisateur crée un volume Unity Catalog. | - name- catalog_name- schema_name- volume_type- storage_location- owner- comment- workspace_id- metastore_id |
unityCatalog |
getVolume |
L’utilisateur effectue un appel pour obtenir des informations sur un volume Unity Catalog. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
updateVolume |
L’utilisateur met à jour les métadonnées d’un volume Unity Catalog avec les appels ALTER VOLUME ou COMMENT ON. |
- volume_full_name- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteVolume |
L’utilisateur supprime un volume Unity Catalog. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
listVolumes |
L’utilisateur effectue un appel pour obtenir la liste de tous les volumes Unity Catalog d’un schéma. | - catalog_name- schema_name- workspace_id- metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Des informations d’identification temporaires sont générées lorsqu’un utilisateur effectue une opération de lecture ou d’écriture sur un volume. Vous pouvez utiliser cet événement pour déterminer qui a eu accès à un volume et quand. | - volume_id- volume_full_name- operation- volume_storage_location- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
getTagSecurableAssignments |
Les affectations d’étiquettes pour un élément sécurisable sont récupérées | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getTagSubentityAssignments |
Les affectations d’étiquettes pour une sous-entité sont récupérées | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Les affectations de balises pour un élément sécurisable sont mises à jour | - securable_type- securable_full_name- workspace_id- metastore_id- changes |
unityCatalog |
UpdateTagSubentityAssignments |
Les affectations de balises pour une sous-entité sont mises à jour | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name- changes |
unityCatalog |
createRegisteredModel |
L’utilisateur crée un modèle inscrit Unity Catalog. | - name- catalog_name- schema_name- owner- comment- workspace_id- metastore_id |
unityCatalog |
getRegisteredModel |
L’utilisateur effectue un appel pour obtenir des informations sur un modèle inscrit Unity Catalog. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
updateRegisteredModel |
L’utilisateur met à jour les métadonnées d’un modèle inscrit Unity Catalog. | - full_name_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteRegisteredModel |
L’utilisateur supprime un modèle inscrit Unity Catalog. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
listRegisteredModels |
L’utilisateur effectue un appel pour obtenir une liste des modèles inscrits Unity Catalog dans un schéma, ou pour obtenir une liste des modèles dans des catalogues et des schémas. | - catalog_name- schema_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
createModelVersion |
L’utilisateur crée une version de modèle dans Unity Catalog. | - catalog_name- schema_name- model_name- source- comment- workspace_id- metastore_id |
unityCatalog |
finalizeModelVersion |
L’utilisateur effectue un appel pour «finaliser » une version d’un modèle Unity Catalog après avoir chargé les fichiers de version du modèle à son emplacement de stockage, ce qui le rend en lecture seule et utilisable dans des workflows d’inférence. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersion |
L’utilisateur effectue un appel pour obtenir des détails sur une version de modèle. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersionByAlias |
L’utilisateur effectue un appel pour obtenir des détails sur une version de modèle à l’aide de l’alias. | - full_name_arg- include_aliases- alias_arg- workspace_id- metastore_id |
unityCatalog |
updateModelVersion |
L’utilisateur met à jour les métadonnées d’une version de modèle. | - full_name_arg- version_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteModelVersion |
L’utilisateur supprime une version de modèle. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
listModelVersions |
L’utilisateur effectue un appel pour obtenir une liste des versions de modèle Unity Catalog dans un modèle inscrit. | - catalog_name- schema_name- model_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Des informations d’identification temporaires sont générées lorsqu’un utilisateur effectue une écriture (lors de la création de version initiale du modèle) ou une lecture (une fois que la version du modèle a été finalisée) sur une version du modèle. Vous pouvez utiliser cet événement pour déterminer qui a eu accès à une version de modèle et quand. | - full_name_arg- version_arg- operation- model_version_url- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
setRegisteredModelAlias |
L’utilisateur définit un alias sur un modèle inscrit dans le catalogue Unity. | - full_name_arg- alias_arg- version |
unityCatalog |
deleteRegisteredModelAlias |
L’utilisateur supprime un alias sur un modèle inscrit dans un catalogue Unity. | - full_name_arg- alias_arg |
unityCatalog |
getModelVersionByAlias |
L’utilisateur obtient une version du modèle catalogue Unity par alias. | - full_name_arg- alias_arg |
unityCatalog |
createConnection |
Une nouvelle connexion étrangère est créée. | - name- connection_type- workspace_id- metastore_id |
unityCatalog |
deleteConnection |
Une connexion étrangère est supprimée. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getConnection |
Une connexion étrangère est récupérée. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateConnection |
Une connexion étrangère est mise à jour. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listConnections |
Les connexions étrangères dans un metastore sont répertoriées. | - workspace_id- metastore_id |
unityCatalog |
createFunction |
L’utilisateur crée une fonction. | - function_info- workspace_id- metastore_id |
unityCatalog |
updateFunction |
L’utilisateur met à jour une fonction. | - full_name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listFunctions |
L’utilisateur demande une liste de toutes les fonctions au sein d’un catalogue ou d’un schéma parent spécifique. | - catalog_name- schema_name- include_browse- workspace_id- metastore_id |
unityCatalog |
getFunction |
L’utilisateur demande une fonction à partir d’un catalogue ou d’un schéma parent. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
deleteFunction |
L’utilisateur demande une fonction à partir d’un catalogue ou d’un schéma parent. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos- metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos- metastore_id |
Événements de partage Delta
Remarque
Ce service n’est pas disponible via les paramètres de diagnostic Azure. Activez la table système du journal d’audit pour accéder à ces événements.
Les événements de partage Delta sont divisés en deux sections : les événements enregistrés dans le compte du fournisseur de données et les événements enregistrés dans le compte du destinataire des données.
Événements du fournisseur de partage Delta
Les événements de journal d’audit suivants sont enregistrés dans le compte du fournisseur. Les actions effectuées par les destinataires commencent par le deltaSharing préfixe . Chacun de ces journaux inclut également request_params.metastore_id, qui est le metastore qui gère les données partagées, et userIdentity.email, qui est l’ID de l’utilisateur qui a lancé l’activité.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Un destinataire de données demande une liste de partages. | - options : options de pagination fournies avec cette requête.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingGetShare |
Un destinataire de données demande des détails sur un partage. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListSchemas |
Un destinataire de données demande une liste de schémas partagés. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- options : options de pagination fournies avec cette requête.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListAllTables |
Un destinataire de données demande une liste de toutes les tables partagées. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListTables |
Un destinataire de données demande une liste de tables partagées. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- options : options de pagination fournies avec cette requête.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingGetTableMetadata |
Un destinataire de données demande des détails sur les métadonnées d’une table. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- schema : nom du schéma.- name : nom de la table.- predicateHints : prédicats inclus dans la requête.- limitHints : quantité maximale de lignes à retourner.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingGetTableVersion |
Un destinataire de données demande des détails sur une version de table. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- schema : nom du schéma.- name : nom de la table.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingQueryTable |
Journalisé lorsqu’un destinataire de données interroge une table partagée. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- schema : nom du schéma.- name : nom de la table.- predicateHints : prédicats inclus dans la requête.- limitHints : quantité maximale de lignes à retourner.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingQueryTableChanges |
Journalisé lorsqu’un destinataire de données interroge des données modifiées pour une table. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- schema : nom du schéma.- name : nom de la table.- cdf_options : modifier les options de flux de données.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingQueriedTable |
Journalisé après qu’un destinataire de données obtient une réponse à sa requête. Le champ response.result contient plus d’informations sur la requête du destinataire (voir Auditer et surveiller le partage de données) |
- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingQueriedTableChanges |
Journalisé après qu’un destinataire de données obtient une réponse à sa requête. Le champ response.result contient plus d’informations sur la requête du destinataire (consultez Auditer et surveiller le partage de données). |
- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListNotebookFiles |
Un destinataire de données demande une liste de fichiers de notebook partagés. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingQueryNotebookFile |
Un destinataire de données interroge un fichier de notebook partagé. | - file_name : nom du fichier de notebook.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListFunctions |
Un destinataire de données demande une liste de fonctions dans un schéma parent. | - share : nom du partage.- schema : nom du schéma parent de la fonction.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListAllFunctions |
Un destinataire de données demande une liste de toutes les fonctions partagées. | - share : nom du partage.- schema : nom du schéma parent de la fonction.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListFunctionVersions |
Un destinataire de données demande une liste de versions de fonction. | - share : nom du partage.- schema : nom du schéma parent de la fonction.- function : nom de la fonction.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListVolumes |
Un destinataire de données demande une liste de volumes partagés dans un schéma. | - share : nom du partage.- schema : schémas parents des volumes.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
deltaSharingListAllVolumes |
Un destinataire de données demande tous les volumes partagés. | - share : nom du partage.- recipient_name: indique le destinataire qui exécute l’action.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, « true » si la demande a été refusée et « false » si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
updateMetastore |
Le fournisseur met à jour son metastore. | - delta_sharing_scope : les valeurs peuvent être INTERNAL ou INTERNAL_AND_EXTERNAL.- delta_sharing_recipient_token_lifetime_in_seconds : si présent, indique que la durée de vie du jeton de destinataire a été mise à jour. |
unityCatalog |
createRecipient |
Le fournisseur crée un destinataire de données. | - name : nom du destinataire.- comment : commentaire pour le destinataire.- ip_access_list.allowed_ip_addresses: Liste d’autorisation des adresses IP du destinataire. |
unityCatalog |
deleteRecipient |
Le fournisseur supprime un destinataire de données. | - name : nom du destinataire. |
unityCatalog |
getRecipient |
Le fournisseur demande des détails sur un destinataire de données. | - name : nom du destinataire. |
unityCatalog |
listRecipients |
Le fournisseur demande une liste de tous ses destinataires de données. | Aucune |
unityCatalog |
rotateRecipientToken |
Le fournisseur fait pivoter le jeton d’un destinataire. | - name : nom du destinataire.- comment : commentaire fourni dans la commande de permutation. |
unityCatalog |
updateRecipient |
Le fournisseur met à jour les attributs d’un destinataire de données. | - name : nom du destinataire.- updates : représentation JSON des attributs de destinataire qui ont été ajoutées ou supprimées du partage. |
unityCatalog |
createShare |
Le fournisseur met à jour les attributs d’un destinataire de données. | - name : nom du partage.- comment : commentaire pour le partage. |
unityCatalog |
deleteShare |
Le fournisseur met à jour les attributs d’un destinataire de données. | - name : nom du partage. |
unityCatalog |
getShare |
Le fournisseur demande des détails sur un partage. | - name : nom du partage.- include_shared_objects : indique si les noms des tables du partage ont été inclus dans la requête. |
unityCatalog |
updateShare |
Le fournisseur ajoute ou supprime des ressources de données d’un partage. | - name : nom du partage.- updates : représentation JSON de ressources de données qui ont été ajoutées ou supprimées du partage. Chaque élément comprend action (ajouter ou supprimer), name (le nom réel de la table), shared_as (le nom sous lequel la ressource a été partagée, s’il est différent du nom réel) et partition_specification (si une spécification de partition a été fournie). |
unityCatalog |
listShares |
Le fournisseur demande une liste de ses partages. | Aucune |
unityCatalog |
getSharePermissions |
Le fournisseur demande des détails sur les autorisations d’un partage. | - name : nom du partage. |
unityCatalog |
updateSharePermissions |
Le fournisseur met à jour les autorisations d’un partage. | - name : nom du partage.- changes : représentation JSON des autorisations mises à jour. Chaque modification comprend principal (l’utilisateur ou le groupe auquel l’autorisation est accordée ou révoquée), add (la liste des autorisations qui ont été accordées) et remove (la liste des autorisations qui ont été révoquées). |
unityCatalog |
getRecipientSharePermissions |
Le fournisseur demande des détails sur les autorisations de partage d’un destinataire. | - name : nom du partage. |
unityCatalog |
getActivationUrlInfo |
Le fournisseur demande des détails sur l’activité de son lien d’activation. | - recipient_name : nom du destinataire qui a ouvert l’URL d’activation.- is_ip_access_denied : aucun s’il n’existe aucune liste d’accès IP configurée. Sinon, true si la demande a été refusée et false si la demande n’a pas été refusée. sourceIPaddress est l’adresse IP du destinataire. |
unityCatalog |
generateTemporaryVolumeCredential |
Les informations d’identification temporaires sont générées pour que le destinataire accède à un volume partagé. | - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.- share_id : ID du partage.- share_owner : propriétaire du partage.- recipient_name : nom du destinataire qui demande les informations d’identification.- recipient_id : ID du destinataire.- volume_full_name : nom complet à trois niveaux du volume.- volume_id : ID du volume.- volume_storage_location : chemin cloud de la racine du volume.- operation : READ_VOLUME ou WRITE_VOLUME. Pour le partage de volumes, seul READ_VOLUME est pris en charge.- credential_id : ID des informations d’identification.- credential_type : type des informations d’identification. La valeur est toujours StorageCredential.- workspace_id : la valeur est toujours 0 lorsque la requête concerne des volumes partagés. |
unityCatalog |
generateTemporaryTableCredential |
Les informations d’identification temporaires sont générées pour que le destinataire accède à une table partagée. | - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.- share_id : ID du partage.- share_owner : propriétaire du partage.- recipient_name : nom du destinataire qui demande les informations d’identification.- recipient_id : ID du destinataire.- table_full_name : nom complet à trois niveaux de la table.- table_id : ID de la table.- table_url : chemin d’accès cloud de la racine de la table.- operation : READ ou READ_WRITE.- credential_id : ID des informations d’identification.- credential_type : type des informations d’identification. La valeur est toujours StorageCredential.- workspace_id : la valeur est toujours 0 lorsque la requête concerne les tables partagées. |
Événements de destinataire de partage Delta
Les événements suivants sont enregistrés dans le compte du destinataire des données. Ces événements enregistrent l’accès du destinataire aux ressources de données partagées et d’IA, ainsi qu’aux événements associés à la gestion des fournisseurs. Chacun de ces événements inclut également les paramètres de requête suivants :
recipient_name: nom du destinataire dans le système du fournisseur de données.metastore_id: nom du metastore dans le système du fournisseur de données.sourceIPAddress: adresse IP d’où provient la requête.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Un destinataire de données demande des détails sur une version de table partagée. | - share : nom du partage.- schema: Nom du catalogue parent de la table.- name : nom de la table. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Un destinataire de données demande des détails sur les métadonnées d’une table partagée. | - share : nom du partage.- schema: Nom du catalogue parent de la table.- name : nom de la table. |
unityCatalog |
deltaSharingProxyQueryTable |
Un destinataire de données interroge une table partagée. | - share : nom du partage.- schema: Nom du catalogue parent de la table.- name : nom de la table.- limitHints : quantité maximale de lignes à retourner.- predicateHints : prédicats inclus dans la requête.- version: version de table, si le flux de données modifiées est activé. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Un destinataire de données interroge les données modifiées d’une table. | - share : nom du partage.- schema: Nom du catalogue parent de la table.- name : nom de la table.- cdf_options : modifier les options de flux de données. |
unityCatalog |
createProvider |
Un destinataire de données crée un objet fournisseur. | - name: le nom du fournisseur.- comment: commentaire du fournisseur. |
unityCatalog |
updateProvider |
Un destinataire de données met à jour un objet fournisseur. | - name: le nom du fournisseur.- updates : représentation JSON des attributs de fournisseur qui ont été ajoutées ou supprimées du partage. Chaque élément comprend action (ajouter ou supprimer) et peut inclure name (le nouveau nom du fournisseur), owner (le nouveau propriétaire) et comment. |
unityCatalog |
deleteProvider |
Un destinataire de données supprime un objet fournisseur. | - name: le nom du fournisseur. |
unityCatalog |
getProvider |
Un destinataire de données demande des détails sur un objet fournisseur. | - name: le nom du fournisseur. |
unityCatalog |
listProviders |
Un destinataire de données demande une liste de fournisseurs. | Aucune |
unityCatalog |
activateProvider |
Un destinataire de données active un objet fournisseur. | - name: le nom du fournisseur. |
unityCatalog |
listProviderShares |
Un destinataire de données demande une liste des partages d’un fournisseur. | - name: le nom du fournisseur. |
unityCatalog |
generateTemporaryVolumeCredential |
Les informations d’identification temporaires sont générées pour que le destinataire accède à un volume partagé. | - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.- volume_full_name : nom complet à trois niveaux du volume.- volume_id : ID du volume.- operation : READ_VOLUME ou WRITE_VOLUME. Pour le partage de volumes, seul READ_VOLUME est pris en charge.- workspace_id : ID de l’espace de travail qui reçoit la requête de l’utilisateur. |
unityCatalog |
generateTemporaryTableCredential |
Les informations d’identification temporaires sont générées pour que le destinataire accède à une table partagée. | - share_name : nom du partage par le biais duquel le destinataire effectue sa demande.- table_full_name : nom complet à trois niveaux de la table.- table_id : ID de la table.- operation : READ ou READ_WRITE.- workspace_id : ID de l’espace de travail qui reçoit la requête de l’utilisateur. |
Événements de surveillance de la sécurité supplémentaires
Pour les ressources de calcul Azure Databricks du plan de calcul classique, telles que les machines virtuelles pour les clusters et les entrepôts SQL professionnels ou classiques, les fonctionnalités suivantes permettent d’autres agents de surveillance :
- Surveillance renforcée de la sécurité
- Profil de sécurité de conformité. Le profil de sécurité de conformité est requis pour les contrôles de conformité pour PCI-DSS.
Événements de surveillance de l’intégrité des fichiers
Les événements capsule8-alerts-dataplane suivants sont enregistrés au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Événement régulier pour confirmer que le moniteur est activé. S’exécute actuellement toutes les 10 minutes. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
La mémoire est souvent marquée comme exécutable afin de permettre l’exécution de codes malveillants lorsqu’une application est exploitée. Alerte lorsqu’un programme définit les autorisations de mémoire de tas ou de pile sur exécutable. Cela peut entraîner des faux positifs pour certains serveurs d’application. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Analyse l’intégrité des fichiers système importants. Alerte sur toute modification non autorisée apportée à ces fichiers. Databricks définit des ensembles spécifiques de chemins d’accès du système sur l’image, et cet ensemble de chemins d’accès peut changer au fil du temps. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Les modifications apportées aux unités système peuvent entraîner l’assouplissement ou la désactivation des contrôles de sécurité, ou l’installation d’un service malveillant. Alerte chaque fois qu’un fichier d’unité systemd est modifié par un programme autre que systemctl. |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Les plantages répétés du programme peuvent indiquer qu’un attaquant tente d’utiliser un code malveillant exploitant une faille de sécurité liée à une altération de la mémoire, ou qu’il existe un problème de stabilité dans l’application affectée. Alerte lorsque plus de 5 instances d’un programme individuel se bloquent suite à une erreur de segmentation. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Comme les conteneurs sont généralement des charges de travail statiques, cette alerte peut indiquer qu’un attaquant a compromis le conteneur et tente d’installer et d’exécuter une porte dérobée. Alerte lorsqu’un fichier qui a été créé ou modifié dans les 30 minutes est ensuite exécuté dans un conteneur. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
La mémoire est souvent marquée comme exécutable afin de permettre l’exécution de codes malveillants lorsqu’une application est exploitée. Alerte lorsqu’un programme définit les autorisations de mémoire de tas ou de pile sur exécutable. Cela peut entraîner des faux positifs pour certains serveurs d’application. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Les interpréteurs de commandes interactifs sont rares sur l’infrastructure de production moderne. Alerte lorsqu’un interpréteur de commandes interactif est démarré avec des arguments couramment utilisés pour les interpréteurs de commandes inversés. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Échapper à la journalisation des commandes est une pratique courante pour les attaquants, mais peut également indiquer qu’un utilisateur légitime effectue des actions non autorisées ou tente d’échapper à une stratégie. Alerte lorsqu’une modification de la journalisation de l’historique des commandes utilisateur est détectée, indiquant qu’un utilisateur tente d’échapper à la journalisation des commandes. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Détecte certains types de portes dérobées du noyau. Le chargement d’un nouveau programme Berkeley Packet Filter (BPF) peut indiquer qu’un attaquant est en train de charger un rootkit basé sur BPF pour obtenir une persistance et éviter la détection. Alerte lorsqu’un processus charge un nouveau programme BPF privilégié, si le processus fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Les attaquants chargent généralement des modules de noyau malveillants (rootkits) pour échapper à la détection et maintenir la persistance sur un nœud compromis. Alerte lorsqu’un module de noyau est chargé, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Les attaquants peuvent créer ou renommer des fichiers binaires malveillants pour inclure un espace à la fin du nom dans le but d’emprunter l’identité d’un programme ou d’un service système légitime. Alerte lorsqu’un programme est exécuté avec un espace après le nom du programme. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Les codes malveillants exploitant une faille de sécurité de l’élévation des privilèges du noyau permettent généralement à un utilisateur non privilégié d’obtenir des privilèges racines sans passer de portes standard pour les modifications de privilèges. Alerte lorsqu’un programme tente d’élever des privilèges par des moyens inhabituels. Cela peut générer des alertes de faux positifs sur des nœuds dont la charge de travail est importante. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Les fonctions noyau internes ne sont pas accessibles aux programmes ordinaires et, si elles sont appelées, elles constituent un indicateur fort qu’un code malveillant exploitant une faille de sécurité du noyau a été exécuté et que l’attaquant a le contrôle total du nœud. Alerte lorsqu’une fonction noyau retourne de manière inattendue dans l’espace utilisateur. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP et SMAP sont des protections au niveau du processeur qui augmentent la difficulté de réussite des codes malveillants exploitant une faille de sécurité du noyau, et la désactivation de ces restrictions constitue une première étape courante dans les codes malveillants exploitant la faille de sécurité du noyau. Alerte lorsqu’un programme falsifie la configuration SMEP/SMAP du noyau. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Alerte lorsqu’un programme utilise des fonctions noyau couramment utilisées dans les codes malveillants exploitant une faille de sécurité d’échappement de conteneur, indiquant qu’un attaquant élève les privilèges de l’accès au conteneur à l’accès au nœud. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Les conteneurs privilégiés ont un accès direct aux ressources hôtes, ce qui a un impact plus important en cas de compromission. Alerte lorsqu’un conteneur privilégié est lancé, si le conteneur n’est pas une image privilégiée connue telle que kube-proxy. Cela peut générer des alertes indésirables pour les conteneurs privilégiés légitimes. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
De nombreux échappements de conteneurs forcent l’hôte à exécuter un binaire dans le conteneur, ce qui permet à l’attaquant de prendre le contrôle total du nœud affecté. Alerte lorsqu’un fichier créé par un conteneur est exécuté à partir de l’extérieur d’un conteneur. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
La modification de certains attributs AppArmor ne peut se produire que dans le noyau, ce qui indique qu’AppArmor a été désactivé par un code malveillant exploitant la faille de sécurité ou un rootkit. Alerte lorsque l’état AppArmor est modifié à partir de la configuration AppArmor détectée lors du démarrage du capteur. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Les attaquants peuvent tenter de désactiver l’application des profils AppArmor afin d’échapper à la détection. Alerte lorsqu’une commande de modification d’un profil AppArmor est exécutée, si elle n’a pas été exécutée par un utilisateur dans une session SSH. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Si elle n’est pas effectuée par une source de confiance (par exemple, un gestionnaire de package ou un outil de gestion de la configuration), la modification des fichiers de démarrage peut indiquer qu’un attaquant modifie le noyau ou ses options afin d’obtenir un accès persistant à un hôte. Alerte lorsque des modifications sont apportées aux fichiers dans /boot, indiquant l’installation d’une nouvelle configuration de noyau ou de démarrage. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
La suppression des journaux non effectuée par un outil de gestion des journaux peut indiquer qu’un attaquant tente de supprimer des indicateurs de compromission. Alertes lors de la suppression des fichiers journaux système. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
Les fichiers nouvellement créés à partir de sources autres que les programmes de mise à jour système peuvent être des portes dérobées, des code malveillant exploitant une faille de sécurité du noyau ou une partie d’une chaîne d’exploitation. Alerte lorsqu’un fichier qui a été créé ou modifié dans les 30 minutes est ensuite exécuté, à l’exclusion des fichiers créés par les programmes de mise à jour système. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
La modification du magasin de certificats racine peut indiquer l’installation d’une autorité de certification non autorisée, permettant l’interception du trafic réseau ou le contournement de la vérification de la signature de code. Alerte lorsqu’un magasin de certificats d’autorité de certification système est modifié. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Les bits setuid/setgid de paramétrage peuvent être utilisés pour fournir une méthode persistante d’élévation des privilèges sur un nœud. Alerte lorsque le bit setuid ou setgid est défini sur un fichier avec la famille d’appels système chmod. |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Les attaquants créent souvent des fichiers masqués pour dissimuler les outils et les charges utiles sur un hôte compromis. Alerte lorsqu’un fichier masqué est créé par un processus associé à un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Les attaquants peuvent modifier les utilitaires système afin d’exécuter des charges utiles malveillantes chaque fois que ces utilitaires sont exécutés. Alerte lorsqu’un utilitaire système courant est modifié par un processus non autorisé. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Un attaquant ou un utilisateur non autorisé peut utiliser ou installer ces programmes pour rechercher dans les réseaux connectés des nœuds supplémentaires à compromettre. Alerte lorsque des outils de programmes d’analyse réseau courants sont exécutés. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Les attaquants peuvent démarrer un nouveau service réseau pour fournir un accès facile à un hôte après avoir été compromis. Alerte lorsqu’un programme démarre un nouveau service réseau, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Un attaquant ou un utilisateur non autorisé peut exécuter des commandes de détection réseau pour capturer des informations d’identification, des informations d’identification personnelle (PII) ou d’autres informations sensibles. Alerte lorsqu’un programme permettant la capture réseau est exécuté. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
L’utilisation d’outils de transfert de fichiers peut indiquer qu’un attaquant tente de déplacer des ensembles d’outils vers des hôtes supplémentaires ou d’exfiltrer des données vers un système distant. Alerte lorsqu’un programme associé à la copie de fichiers à distance est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Les canaux de commande et de contrôle et les mineurs de crypto-monnaie créent souvent de nouvelles connexions réseau sortantes sur des ports inhabituels. Alerte lorsqu’un programme établit une nouvelle connexion sur un port inhabituel, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Après avoir accédé à un système, un attaquant peut créer une archive compressée de fichiers pour réduire la taille des données à des fins d’exfiltration. Alerte lorsqu’un programme de compression de données est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
L’utilisation de techniques d’injection de processus indique généralement qu’un utilisateur est en train de déboguer un programme, mais peut également indiquer qu’un attaquant lit des secrets ou injecte du code dans d’autres processus. Alerte lorsqu’un programme utilise des mécanismes ptrace (débogage) pour interagir avec un autre processus. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Les attaquants utilisent souvent des programmes d’énumération de comptes afin de déterminer leur niveau d’accès et de voir si d’autres utilisateurs sont actuellement connectés au nœud. Alerte lorsqu’un programme associé à l’énumération de comptes est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
L’exploration des systèmes de fichiers est un comportement courant après l’utilisation d’un code malveillant exploitant une faille de sécurité pour un attaquant à la recherche d’informations d’identification et de données intéressantes. Alerte lorsqu’un programme associé à l’énumération de fichiers et de répertoires est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Les attaquants peuvent interroger le réseau local et les informations sur les itinéraires pour identifier les hôtes et les réseaux adjacents en amont du mouvement latéral. Alerte lorsqu’un programme associé à l’énumération de configuration réseau est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Les attaquants répertorient souvent les programmes en cours d’exécution afin d’identifier l’objectif d’un nœud et de savoir si des outils de sécurité ou de surveillance sont en place. Alerte lorsqu’un programme associé à l’énumération de processus est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Les attaquants exécutent généralement des commandes d’énumération système pour déterminer les versions et fonctionnalités du noyau et de la distribution Linux, souvent pour identifier si le nœud est affecté par des vulnérabilités spécifiques. Alerte lorsqu’un programme associé à l’énumération des informations système est exécuté, si le programme fait déjà partie d’un incident en cours. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
La modification des tâches planifiées est une méthode courante pour établir la persistance sur un nœud compromis. Alerte lorsque les commandes crontab, at ou batch sont utilisées pour modifier les configurations de tâches planifiées. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Les modifications apportées aux unités système peuvent entraîner l’assouplissement ou la désactivation des contrôles de sécurité, ou l’installation d’un service malveillant. Alerte lorsque la commande systemctl est utilisée pour modifier des unités système. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
L’escalade explicite vers l’utilisateur racine diminue la possibilité de mettre en corrélation l’activité privilégiée avec un utilisateur spécifique. Alerte lorsque la commande su est exécutée. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Alerte lorsque la commande sudo est exécutée. |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
La suppression du fichier d’historique est inhabituelle, généralement effectuée par des attaquants masquant l’activité ou par des utilisateurs légitimes ayant l’intention d’échapper aux contrôles d’audit. Alerte lorsque les fichiers d’historique de ligne de commande sont supprimés. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Un attaquant peut ajouter un nouvel utilisateur à un hôte pour fournir une méthode d’accès fiable. Alerte si une nouvelle entité utilisateur est ajoutée au fichier de gestion de compte local /etc/passwd, si l’entité n’est pas ajoutée par un programme de mise à jour système. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Les attaquants peuvent modifier directement les fichiers liés à l’identité pour ajouter un nouvel utilisateur au système. Alerte lorsqu’un fichier lié aux mots de passe utilisateur est modifié par un programme non lié à la mise à jour des informations utilisateur existantes. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
L’ajout d’une nouvelle clé publique SSH est une méthode courante pour obtenir un accès persistant à un hôte compromis. Alerte lorsqu’une tentative d’écriture dans le fichier SSH authorized_keys d’un utilisateur est observée, si le programme fait déjà partie d’un incident en cours. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
L’ajout d’un nouvel utilisateur est une étape courante pour les attaquants lors de l’établissement de la persistance sur un nœud compromis. Alerte lorsqu’un programme de gestion des identités est exécuté par un programme autre qu’un gestionnaire de package. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
La suppression du fichier d’historique est inhabituelle, généralement effectuée par des attaquants masquant l’activité ou par des utilisateurs légitimes ayant l’intention d’échapper aux contrôles d’audit. Alerte lorsque les fichiers d’historique de ligne de commande sont supprimés. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Les fichiers de profil utilisateur et de configuration sont souvent modifiés en tant que méthode de persistance afin d’exécuter un programme chaque fois qu’un utilisateur se connecte. Alerte lorsque .bash_profile et bashrc (ainsi que les fichiers connexes) sont modifiés par un programme autre qu’un outil de mise à jour système. |
- instanceId |
Événements de surveillance antivirus
Remarque
L’objet JSON response dans ces journaux d’audit a toujours un champ result qui inclut une ligne du résultat d’analyse d’origine. Chaque résultat d’analyse est généralement représenté par plusieurs enregistrements de journal d’audit, un pour chaque ligne de la sortie d’analyse d’origine. Pour plus d’informations sur ce qui peut apparaître dans ce fichier, consultez la documentation tierce suivante.
L’événement clamAVScanService-dataplane suivant est enregistré au niveau de l’espace de travail.
| Service | Action | Description | Paramètres de la demande |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
La surveillance antivirus effectue une analyse. Un journal génère chaque ligne de la sortie d’analyse d’origine. | - instanceId |
Événements de journal déconseillés
Databricks a déconseillé les événements de diagnostic databrickssql suivants :
createAlertDestination(maintenantcreateNotificationDestination)deleteAlertDestination(maintenantdeleteNotificationDestination)updateAlertDestination(maintenantupdateNotificationDestination)muteAlertunmuteAlert
Journaux de point de terminaison SQL
Si vous créez des entrepôts SQL à l’aide de l’API de point de terminaison SQL dépréciée (l’ancien nom des entrepôts SQL), le nom de l’événement d’audit correspondant inclut le mot Endpoint au lieu de Warehouse. Outre le nom, ces événements sont identiques aux événements d’entrepôts SQL. Pour afficher les descriptions et les paramètres de requête de ces événements, consultez leurs événements d’entrepôt correspondants dans Événements Databricks SQL.
Les événements de point de terminaison SQL sont les suivants :
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig