Referência do log de diagnóstico
Observação
Esse recurso requer o plano Premium.
Este artigo fornece uma referência abrangente de serviços e eventos de log de auditoria. A disponibilidade desses serviços depende de como você acessa os logs:
- A tabela do sistema de logs de auditoria registra todos os eventos e serviços listados neste artigo.
- O serviço de configurações de diagnóstico do Azure Monitor não registra em log todos esses serviços. Os serviços que não estão disponíveis nas configurações de diagnóstico do Azure são rotulados adequadamente.
Observação
O Azure Databricks retém uma cópia dos logs de auditoria por até um ano para fins de análise de segurança e fraude.
Serviços de log de diagnósticos
Os seguintes serviços e seus eventos são registrados por padrão nos logs de diagnóstico.
Observação
As designações no nível do workspace e no nível da conta se aplicam apenas à tabela do sistema de logs de auditoria. Os logs de diagnóstico do Azure não incluem eventos no nível da conta.
Serviços no nível do workspace
Nome do serviço | Descrição |
---|---|
contas | Eventos relacionados a contas, usuários, grupos e listas de acesso IP. |
clusters | Eventos relacionados a clusters. |
clusterPolicies | Eventos relacionados a políticas de cluster. |
dashboards | Eventos relacionados ao uso do painel de IA/BI. |
databrickssql | Eventos relacionados ao uso do SQL do Databricks. |
dataMonitoring | Eventos relacionados ao monitoramento de lakehouse. |
dbfs | Eventos relacionados ao DBFS. |
deltaPipelines | Eventos relacionados a pipelines do Delta Live Tables. |
featureStore | Eventos relacionados ao Repositório de Recursos do Databricks. |
filesystem | Eventos relacionados ao gerenciamento de arquivos, que inclui a interação com arquivos usando a API Files ou na interface do usuário de volumes. |
genie | Eventos relacionados ao acesso ao workspace pela equipe de suporte. Espaços AI/BI Genie não relacionados. |
gitCredentials | Eventos relacionados às credenciais do Git para as pastas Git do Databricks. Consulte também repos . |
globalInitScripts | Eventos relacionados a scripts de inicialização globais. |
groups | Eventos relacionados a grupos de conta e workspace. |
iamRole | Eventos relacionados às permissões de função do IAM. |
ingestão | Eventos relacionados a uploads de arquivo. |
instancePools | Eventos relacionados a pools. |
jobs | Eventos relacionados a trabalhos. |
marketplaceConsumer | Eventos relacionados a ações do consumidor no Databricks Marketplace. |
marketplaceProvider | Eventos relacionados a ações do provedor no Databricks Marketplace. |
mlflowAcledArtifact | Eventos relacionados a artefatos do ML Flow com ACLs. |
mlflowExperiment | Eventos relacionados a experimentos de ML Flow. |
modelRegistry | Eventos relacionados ao registro de modelo. |
notebook | Eventos relacionados a notebooks. |
partnerConnect | Eventos relacionados ao Partner Connect. |
predictiveOptimization | Eventos relacionados à otimização preditiva. |
remoteHistoryService | Eventos relacionados à adição de uma remoção de Credenciais do GitHub. |
repositórios | Eventos relacionados às pastas Git do Databricks. Consulte também gitCredentials . |
segredos | Eventos relacionados a segredos. |
serverlessRealTimeInference | Eventos relacionados ao Serviço de Modelo. |
sqlPermissions | Eventos relacionados ao controle de acesso à tabela de metastore do Hive herdado. |
ssh | Eventos relacionados ao acesso SSH. |
vectorSearch | Eventos relacionados à busca em vetores. |
webTerminal | Eventos relacionados ao recurso de terminal da Web. |
workspace | Eventos relacionados a workspaces. |
Serviços no nível da conta
Os logs de auditoria no nível da conta são disponibilizados para estes serviços:
Nome do serviço | Descrição |
---|---|
accountBillableUsage | Ações relacionadas ao acesso de uso faturável no console da conta. |
accountsAccessControl | Ações relacionadas às regras de controle de acesso no nível da conta. |
accountsManager | Ações relacionadas às configurações de conectividade de rede. |
budgetPolicyCentral | Ações relacionadas à gestão de políticas orçamentárias. |
unityCatalog | Ações executadas no Catálogo do Unity. Isso também inclui eventos do Compartilhamento Delta. Consulte Eventos de Compartilhamento Delta. |
Serviços adicionais de monitoramento de segurança
Há serviços adicionais e ações associadas para workspaces que usam o perfil de segurança de conformidade (necessário para alguns padrões de conformidade, como FedRAMP, PCI e HIPAA) ou monitoramento avançado de segurança.
São serviços no nível do workspace que só serão gerados nos logs se você estiver usando o perfil de segurança de conformidade ou o monitoramento de segurança aprimorado:
Nome do serviço | Descrição |
---|---|
capsule8-alerts-dataplane | Ações relacionadas ao monitoramento de integridade do arquivo. |
clamAVScanService-dataplane | Ações relacionadas ao monitoramento de antivírus. |
Exemplo de esquema do log de diagnósticos
No Azure Databricks, o diagnóstico registra os eventos de saída em um formato JSON. No Azure Databricks, os eventos de saída dos logs de auditoria estão em um formato JSON. As propriedades serviceName
e actionName
identificam o evento. A convenção de nomenclatura segue a API REST do Databricks.
O exemplo de JSON a seguir é um exemplo de um evento registrado quando um usuário criou um trabalho:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Considerações sobre o esquema de log de diagnóstico
- Se as ações demorarem, a solicitação e a resposta serão registradas separadamente, mas o par de solicitação e resposta terá o mesmo
requestId
. - Ações automatizadas, como redimensionar um cluster devido ao dimensionamento automático ou iniciar um trabalho devido ao agendamento, são executadas pelo usuário
System-User
. - O campo
requestParams
está sujeito a truncamento. Se o tamanho da representação JSON ultrapassar 100 KB, os valores serão truncados e a cadeia de caracteres... truncated
será anexada a entradas truncadas. Em casos raros nos quais um mapa truncado ainda é maior do que 100 KB, uma única chaveTRUNCATED
com um valor vazio estará presente.
Eventos da Conta
Abaixo estão os eventos accounts
registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
accounts |
activateUser |
Um usuário é reativado após ser desativado. Confira Desativar usuários no workspace. | - targetUserName - endpoint - targetUserId |
accounts |
aadBrowserLogin |
Um usuário faz logon no Databricks usando o fluxo de trabalho do navegador do Microsoft Entra ID. | - user |
accounts |
aadTokenLogin |
Um usuário faz logon no Databricks por meio do token do Microsoft Entra ID. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Um cliente OAuth foi autenticado. | - endpoint |
accounts |
activateUser |
O administrador adiciona um usuário à conta do Databricks no portal do Microsoft Azure. | - warehouse - targetUserName - targetUserId |
accounts |
add |
Um usuário é adicionado a um workspace do Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Um usuário é adicionado a um grupo no nível do workspace. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
changeDatabricksSqlAcl |
As permissões do SQL do Databricks de um usuário foram alteradas. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
As permissões para um workspace são alteradas. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeDbTokenAcl |
Quando as permissões em um token são alteradas. | - shardName - targetUserId - resourceId - aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Quando as permissões de uma entidade de serviço são alteradas. | - shardName - targetServicePrincipal - resourceId - aclPermissionSet |
accounts |
createGroup |
Um grupo no nível do workspace é criado. | - endpoint - targetGroupId - targetGroupName |
accounts |
createIpAccessList |
Uma lista de acesso por IP foi adicionada ao workspace. | - ipAccessListId - userId |
accounts |
deactivateUser |
Um usuário é desativado no workspace. Confira Desativar usuários no workspace. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Um usuário é excluído do workspace do Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteIpAccessList |
Uma lista de acesso por IP foi excluída do workspace. | - ipAccessListId - userId |
accounts |
garbageCollectDbToken |
Um usuário executa um comando de coleta de lixo em tokens expirados. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
Quando alguém gera um token com as Configurações do Usuário ou quando o serviço gera o token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
IpAccessDenied |
Um usuário tenta se conectar ao serviço através de um IP negado. | - path - userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
O usuário faz logon no Databricks usando um JWT. | - user |
accounts |
login |
O usuário faz logon no workspace. | - user |
accounts |
logout |
O usuário faz logoff do workspace. | - user |
accounts |
oidcTokenAuthorization |
Quando uma chamada à API é autorizada através de um token OIDC/OAuth genérico. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Quando o número atual de tokens não expirados exceder a cota de tokens | |
accounts |
removeAdmin |
Um usuário tem as permissões de administrador do workspace revogadas. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Um grupo é removido do workspace. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
Um usuário foi removido de um grupo. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
revokeDbToken |
O token de um usuário é removido de um workspace. Isto pode ser disparado quando um usuário que é removido da conta do Databricks. | - userId |
accounts |
setAdmin |
Um usuário recebe permissões de administrador de conta. | - endpoint - targetUserName - targetUserId |
accounts |
tokenLogin |
Um usuário faz logon no Databricks usando um token. | - tokenId - user |
accounts |
updateIpAccessList |
Uma lista de acesso por IP foi alterada. | - ipAccessListId - userId |
accounts |
updateUser |
Uma alteração foi feita na conta de um usuário. | - warehouse - targetUserName - targetUserId |
accounts |
validateEmail |
Quando um usuário valida seu email após a criação da conta. | - endpoint - targetUserName - targetUserId |
Eventos o Clusters
Abaixo estão os eventos cluster
registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
clusters |
changeClusterAcl |
Um usuário altera a ACL do cluster. | - shardName - aclPermissionSet - targetUserId - resourceId |
clusters |
create |
Um usuário cria um cluster. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
createResult |
Resultados da criação do cluster. Em conjunto com create . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
delete |
Um cluster foi encerrado. | - cluster_id |
clusters |
deleteResult |
Resultados do encerramento do cluster. Em conjunto com delete . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
edit |
Um usuário faz alterações nas configurações do cluster. Isso registra todas as alterações em log, exceto as alterações de tamanho do cluster ou de comportamento do dimensionamento automático. | - cluster_log_conf - num_workers - enable_elastic_disk - driver_node_type_id - start_cluster - docker_image - ssh_public_keys - aws_attributes - acl_path_prefix - node_type_id - instance_pool_id - spark_env_vars - init_scripts - spark_version - cluster_source - autotermination_minutes - cluster_name - autoscale - custom_tags - cluster_creator - enable_local_disk_encryption - idempotency_token - spark_conf - organization_id - no_driver_daemon - user_id - virtual_cluster_size - apply_policy_default_values - data_security_mode |
clusters |
permanentDelete |
Um cluster foi excluído da interface do usuário. | - cluster_id |
clusters |
resize |
Redimensionamento do cluster. Isso é registrado em clusters em execução em que a única propriedade que muda é o tamanho do cluster ou o comportamento do dimensionamento automático. | - cluster_id - num_workers - autoscale |
clusters |
resizeResult |
Resultados do redimensionamento do cluster. Em conjunto com resize . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
restart |
Um usuário reinicia um cluster em execução. | - cluster_id |
clusters |
restartResult |
Resultados da reinicialização do cluster. Em conjunto com restart . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
clusters |
start |
Um usuário inicia um cluster. | - init_scripts_safe_mode - cluster_id |
clusters |
startResult |
Resultados do inicialização do cluster. Em conjunto com start . |
- clusterName - clusterState - clusterId - clusterWorkers - clusterOwnerUserId |
Eventos de bibliotecas de clusters
Abaixo estão os eventos clusterLibraries
registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
clusterLibraries |
installLibraries |
O usuário instala uma biblioteca em um cluster. | - cluster_id - libraries |
clusterLibraries |
uninstallLibraries |
Usuário desinstala uma biblioteca em um cluster. | - cluster_id - libraries |
clusterLibraries |
installLibraryOnAllClusters |
Um administrador de workspace agenda a instalação de uma biblioteca em todo o cluster. | - user - library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Um administrador de workspace remove uma biblioteca da lista para instalar em todos os clusters. | - user - library |
Eventos de política de cluster
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Abaixo estão os eventos clusterPolicies
registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
clusterPolicies |
create |
Um usuário criou uma política de cluster. | - name |
clusterPolicies |
edit |
Um usuário editou uma política de cluster. | - policy_id - name |
clusterPolicies |
delete |
Um usuário excluiu uma política de cluster. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Um administrador do workspace altera permissões em uma política de cluster. | - shardName - targetUserId - resourceId - aclPermissionSet |
Eventos de painéis
Abaixo estão os eventos dashboards
registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
dashboards |
getDashboard |
Um usuário acessa a versão de rascunho de um painel exibindo-a na interface do usuário ou solicitando a definição do painel usando a API. Somente os usuários do workspace podem acessar a versão de rascunho de um painel. | - dashboard_id |
dashboards |
getPublishedDashboard |
Um usuário acessa a versão publicada de um painel exibindo na interface do usuário ou solicitando a definição do painel usando a API. Inclui atividades de usuários do workspace e usuários de contas. Exclui o recebimento de um instantâneo em PDF de um painel por email agendado. | - dashboard_id - credentials_embedded |
dashboards |
executeQuery |
Um usuário executa uma consulta em um painel. | - dashboard_id - statement_id |
dashboards |
cancelQuery |
Um usuário cancela uma consulta em um painel. | - dashboard_id - statement_id |
dashboards |
getQueryResult |
Um usuário recebe os resultados de uma consulta de um painel. | - dashboard_id - statement_id |
dashboards |
sendDashboardSnapshot |
Um instantâneo em PDF de um painel é enviado por meio de um email agendado. Os valores dos parâmetros da solicitação dependem do tipo de destinatário. Para um destino de notificação do Databricks, somente o destination_id é mostrado. Para um usuário do Databricks, a ID do usuário e o endereço de email do assinante são mostrados. Se o destinatário for um endereço de email, somente o endereço de email será mostrado. |
- dashboard_id - subscriber_destination_id - subscriber_user_details: { user_id ,email_address } |
dashboards |
getDashboardDetails |
Um usuário acessa detalhes de um painel de rascunho, como conjuntos de dados e widgets. getDashboardDetails sempre é emitido quando um usuário exibe um painel de rascunho usando a interface do usuário ou solicita a definição do painel usando a API. |
- dashboard_id |
dashboards |
createDashboard |
Um usuário cria um painel de IA/BI usando a interface do usuário ou a API. | - dashboard_id |
dashboards |
updateDashboard |
Um usuário faz uma atualização em um painel de IA/BI usando a interface do usuário ou a API. | - dashboard_id |
dashboards |
cloneDashboard |
Um usuário clona um painel de IA/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
publishDashboard |
Um usuário publica um painel de IA/BI com ou sem as credenciais inseridas usando a interface do usuário ou a API. | - dashboard_id - credentials_embedded - warehouse_id |
dashboards |
unpublishDashboard |
Um usuário cancela a publicação de um painel publicado de IA/BI usando a interface do usuário ou a API. | - dashboard_id |
dashboards |
trashDashboard |
Um usuário move um painel de IA/BI para a lixeira usando a interface do usuário ou a API. | - dashboard_id |
dashboards |
restoreDashboard |
Um usuário restaura um dashboard de IA/BI da lixeira. | - dashboard_id |
dashboards |
migrateDashboard |
Um usuário migra um painel do DBSQL para um painel de IA/BI. | - source_dashboard_id - new_dashboard_id |
dashboards |
createSchedule |
Um usuário cria um agendamento de assinatura de email. | - dashboard_id - schedule_id |
dashboards |
updateSchedule |
Um usuário faz uma atualização em um agendamento de um painel de IA/BI. | - dashboard_id - schedule_id |
dashboards |
deleteSchedule |
Um usuário exclui a agenda de um painel de IA/BI. | - dashboard_id - schedule_id |
dashboards |
createSubscription |
Um usuário assina um destino de email para um agendamento de um painel de IA/BI. | - dashboard_id - schedule_id - schedule |
dashboards |
deleteSubscription |
Um usuário exclui um destino de email de um agendamento de um painel de IA/BI. | - dashboard_id - schedule_id |
Eventos SQL do Databricks
Abaixo estão os eventos databrickssql
registrados em log no nível do workspace.
Observação
Se você gerenciar seus sql warehouses usando a API de pontos de extremidade SQL herdado, os eventos de auditoria do SQL Warehouse terão nomes de ação diferentes. Confira Logs de ponto de extremidade SQL.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
databrickssql |
addDashboardWidget |
Um widget é adicionado a um painel. | - dashboardId - widgetId |
databrickssql |
cancelQueryExecution |
A execução de uma consulta é cancelada na interface do usuário do editor SQL. Isso não inclui os cancelamentos originados da interface do usuário do Histórico de Consultas ou da API de Execução de SQL do Databricks. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Um gerente de warehouse atualiza as permissões em um SQL warehouse. | - aclPermissionSet - resourceId - shardName - targetUserId |
databrickssql |
changePermissions |
Um usuário atualiza as permissões em um objeto. | - granteeAndPermission - objectId - objectType |
databrickssql |
cloneDashboard |
Um usuário clona um painel. | - dashboardId |
databrickssql |
commandSubmit |
Somente em logs de auditoria detalhados. Gerado quando um comando é enviado a um SQL Warehouse, independentemente da origem da solicitação. | - warehouseId - commandId - validation - commandText |
databrickssql |
commandFinish |
Somente em logs de auditoria detalhados. Gerado quando um comando em um SQL Warehouse é concluído ou cancelado, independentemente da origem da solicitação de cancelamento. | - warehouseId - commandId |
databrickssql |
createAlert |
Um usuário cria um alerta. | - alertId |
databrickssql |
createNotificationDestination |
Um administrador de workspace cria um destino de notificação. | - notificationDestinationId - notificationDestinationType |
databrickssql |
createDashboard |
Um usuário cria um painel. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Um usuário cria um dashboard de visualização de dados. | - dashboardId |
databrickssql |
createWarehouse |
Um usuário com o direito de criação de cluster cria um SQL Warehouse. | - auto_resume - auto_stop_mins - channel - cluster_size - conf_pairs - custom_cluster_confs - enable_databricks_compute - enable_photon - enable_serverless_compute - instance_profile_arn - max_num_clusters - min_num_clusters - name - size - spot_instance_policy - tags - test_overrides |
databrickssql |
createQuery |
Um usuário cria uma consulta. | - queryId |
databrickssql |
createQueryDraft |
Um usuário cria um rascunho de consulta. | - queryId |
databrickssql |
createQuerySnippet |
Um usuário cria um trecho de consulta. | - querySnippetId |
databrickssql |
createSampleDashboard |
Um usuário cria um dashboard de exemplo. | - sampleDashboardId |
databrickssql |
createVisualization |
Um usuário gera uma visualização usando o editor SQL. Exclui tabelas de resultados padrão e visualizações em notebooks que utilizam SQL Warehouses. | - queryId - visualizationId |
databrickssql |
deleteAlert |
Um usuário exclui um alerta da interface de alertas ou por meio da API. Exclui as exclusões da interface do usuário do navegador de arquivos. | - alertId |
databrickssql |
deleteNotificationDestination |
Um administrador de workspace exclui um destino de notificação. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Um usuário exclui um painel na interface do painel ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Um usuário exclui um widget de dashboard. | - widgetId |
databrickssql |
deleteWarehouse |
Um gerente de warehouse exclui um SQL Warehouse. | - id |
databrickssql |
deleteQuery |
Um usuário exclui uma consulta, seja na interface de consulta ou por meio da API. Exclui a exclusão por meio da interface do usuário do navegador de arquivos. | - queryId |
databrickssql |
deleteQueryDraft |
Um usuário exclui um rascunho de consulta. | - queryId |
databrickssql |
deleteQuerySnippet |
Um usuário exclui um trecho de consulta. | - querySnippetId |
databrickssql |
deleteVisualization |
Um usuário exclui uma visualização de uma consulta no SQL Editor. | - visualizationId |
databrickssql |
downloadQueryResult |
Um usuário faz o download de um resultado de consulta do SQL Editor. Exclui downloads de painéis. | - fileType - queryId - queryResultId - credentialsEmbedded - credentialsEmbeddedId |
databrickssql |
editWarehouse |
Um gerente de warehouse faz edições em um SQL Warehouse. | - auto_stop_mins - channel - cluster_size - confs - enable_photon - enable_serverless_compute - id - instance_profile_arn - max_num_clusters - min_num_clusters - name - spot_instance_policy - tags |
databrickssql |
executeAdhocQuery |
Gerado por uma das seguintes opções: - Um usuário executa um rascunho de consulta no editor SQL - Uma consulta é executada a partir de uma agregação de visualização - Um usuário carrega um painel e executa consultas subjacentes |
- dataSourceId |
databrickssql |
executeSavedQuery |
Um usuário executa uma consulta salva. | - queryId |
databrickssql |
executeWidgetQuery |
Gerado por qualquer evento que execute uma consulta de modo que um painel de controle seja atualizado. Alguns exemplos de eventos aplicáveis incluem: - Atualizar um único painel - Atualizar um painel inteiro - Execuções agendadas do painel - Alterações de parâmetros ou filtros que operam em mais de 64.000 linhas |
- widgetId |
databrickssql |
favoriteDashboard |
Um usuário adiciona um dashboard aos favoritos. | - dashboardId |
databrickssql |
favoriteQuery |
Um usuário adiciona uma consulta aos favoritos. | - queryId |
databrickssql |
forkQuery |
Um usuário clona uma consulta. | - originalQueryId - queryId |
databrickssql |
listQueries |
Um usuário abre a página de listagem de consultas ou chama a API de consulta de listas. | - filter_by - include_metrics - max_results - page_token |
databrickssql |
moveAlertToTrash |
Um usuário move um alerta para a lixeira. | - alertId |
databrickssql |
moveDashboardToTrash |
Um usuário move um dashboard para a lixeira. | - dashboardId |
databrickssql |
moveQueryToTrash |
Um usuário move uma consulta para a lixeira. | - queryId |
databrickssql |
restoreAlert |
Um usuário restaura um alerta da lixeira. | - alertId |
databrickssql |
restoreDashboard |
Um usuário restaura um dashboard da lixeira. | - dashboardId |
databrickssql |
restoreQuery |
Um usuário restaura uma consulta da lixeira. | - queryId |
databrickssql |
setWarehouseConfig |
Um gerente de warehouse define a configuração de um SQL Warehouse. | - data_access_config - enable_serverless_compute - instance_profile_arn - security_policy - serverless_agreement - sql_configuration_parameters - try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Um usuário solicita um instantâneo de um painel. Inclui instantâneos agendados do painel. | - dashboardId |
databrickssql |
startWarehouse |
Um SQL warehouse foi iniciado. | - id |
databrickssql |
stopWarehouse |
Um gerente de warehouse interrompe um SQL Warehouse. Exclui os warehouses com parada automática. | - id |
databrickssql |
transferObjectOwnership |
Um administrador do espaço de trabalho transfere a propriedade de um painel, consulta ou alerta para um usuário ativo, por meio da API de transferência da propriedade do objeto. A transferência de propriedade feita por meio da interface do usuário ou das APIs de atualização não é capturada por esse evento de log de auditoria. | - newOwner - objectId - objectType |
databrickssql |
unfavoriteDashboard |
Um usuário remove um dashboard de seus favoritos. | - dashboardId |
databrickssql |
unfavoriteQuery |
Um usuário remove uma consulta dos seus favoritos. | - queryId |
databrickssql |
updateAlert |
Um usuário faz atualizações em um alerta. ownerUserName será preenchido se a propriedade do alerta for transferida usando a API. |
- alertId - queryId - ownerUserName |
databrickssql |
updateNotificationDestination |
Um administrador de workspace faz uma atualização de um destino de notificação. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Um usuário faz uma atualização em um widget de dashboard. Exclui alterações nas escalas dos eixos. Exemplos de atualizações aplicáveis incluem: - Alterar para o tamanho ou o posicionamento do widget - Adição ou remoção de parâmetros de widgets |
- widgetId |
databrickssql |
updateDashboard |
Um usuário faz uma atualização em uma propriedade do painel. Exclui alterações em agendamentos e assinaturas. Exemplos de atualizações aplicáveis incluem: - Alterar no nome do painel - Alterar para o SQL Warehouse - Alterar para as configurações Executar como |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Um administrador de workspace faz atualizações nas configurações do SQL do workspace. | - has_configured_data_access - has_explored_sql_warehouses - has_granted_permissions |
databrickssql |
updateQuery |
Um usuário faz uma atualização de uma consulta. ownerUserName será preenchido se a propriedade da consulta for transferida usando a API. |
- queryId - ownerUserName |
databrickssql |
updateQueryDraft |
Um usuário faz uma atualização em um rascunho de consulta. | - queryId |
databrickssql |
updateQuerySnippet |
Um usuário faz uma atualização em um trecho de consulta. | - querySnippetId |
databrickssql |
updateVisualization |
Um usuário atualiza uma visualização do Editor do SQL ou do painel. | - visualizationId |
Eventos de monitoramento de dados
Os eventos dataMonitoring
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
dataMonitoring |
CreateMonitor |
O usuário cria um monitor. | - data_classification_config - full_table_name_arg - assets_dir - schedule - output_schema_name - notifications - inference_log |
dataMonitoring |
UpdateMonitor |
O usuário faz uma atualização em um monitor. | - data_classification_config - table_name - full_table_name_arg - drift_metrics_table_name - dashboard_id - custom_metrics - assets_dir - monitor_version - profile_metrics_table_name - baseline_table_name - status - output_schema_name - inference_log - slicing_exprs |
dataMonitoring |
DeleteMonitor |
O usuário exclui um monitor. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
O monitor é atualizado por agendamento ou manualmente. | - full_table_name_arg |
Eventos do DBFS
As tabelas a seguir incluem eventos dbfs
registrados em log no nível do workspace.
Há dois tipos de eventos do DBFS: chamadas à API e eventos operacionais.
Eventos da API do DBFS
Os seguintes eventos de auditoria do DBFS são registrados somente quando gravados através da API REST DO DBFS.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
dbfs |
addBlock |
O usuário acrescenta um bloco de dados ao fluxo. Isso é usado em conjunto com dbfs/create para transmitir os dados para o DBFS. | - handle - data_length |
dbfs |
create |
O usuário abre um fluxo para gravar um arquivo para o DBFS. | - path - bufferSize - overwrite |
dbfs |
delete |
O usuário exclui o arquivo ou diretório do DBFs. | - recursive - path |
dbfs |
mkdirs |
O usuário cria um novo diretório DBFS. | - path |
dbfs |
move |
O usuário move um arquivo de um local para outro dentro do DBFs. | - dst - source_path - src - destination_path |
dbfs |
put |
O usuário carrega um arquivo através do uso de postagem de formulários de várias partes para o DBFs. | - path - overwrite |
Eventos operacionais do DBFS
Os seguintes eventos de auditoria do DBFS ocorrem no plano de computação.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
dbfs |
mount |
O usuário cria um ponto de montagem em um determinado local do DBFS. | - mountPoint - owner |
dbfs |
unmount |
O usuário remove um ponto de montagem em um determinado local do DBFS. | - mountPoint |
Eventos de pipelines do Delta
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
deltaPipelines |
changePipelineAcls |
Um usuário altera as permissões em um pipeline. | - shardId - targetUserId - resourceId - aclPermissionSet |
deltaPipelines |
create |
Um usuário cria um pipeline do Delta Live Tables. | - allow_duplicate_names - clusters - configuration - continuous - development - dry_run - id - libraries - name - storage - target - channel - edition - photon |
deltaPipelines |
delete |
Um usuário exclui um pipeline do Delta Live Tables. | - pipeline_id |
deltaPipelines |
edit |
Um usuário edita um pipeline do Delta Live Tables. | - allow_duplicate_names - clusters - configuration - continuous - development - expected_last_modified - id - libraries - name - pipeline_id - storage - target - channel - edition - photon |
deltaPipelines |
startUpdate |
Um usuário reinicia um pipeline do Delta Live Tables. | - cause - full_refresh - job_task - pipeline_id |
deltaPipelines |
stop |
Um usuário interrompe um pipeline do Delta Live Tables. | - pipeline_id |
Eventos do repositório de recursos
Os eventos featureStore
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
featureStore |
addConsumer |
Um consumidor foi adicionado à loja de recursos. | - features - job_run - notebook |
featureStore |
addDataSources |
Uma fonte de dados foi adicionada a uma tabela de recursos. | - feature_table - paths, tables |
featureStore |
addProducer |
Um produtor foi adicionado a uma tabela de recursos. | - feature_table - job_run - notebook |
featureStore |
changeFeatureTableAcl |
As permissões são alteradas em uma tabela de recursos. | - aclPermissionSet - resourceId - shardName - targetUserId |
featureStore |
createFeatureTable |
Uma tabela de recursos foi criada. | - description - name - partition_keys - primary_keys - timestamp_keys |
featureStore |
createFeatures |
Os recursos são criados em uma tabela de recursos. | - feature_table - features |
featureStore |
deleteFeatureTable |
Uma tabela de recursos é excluída. | - name |
featureStore |
deleteTags |
As marcas são excluídas de uma tabela de recursos. | - feature_table_id - keys |
featureStore |
getConsumers |
Um usuário faz uma chamada para obter os consumidores em uma tabela de recursos. | - feature_table |
featureStore |
getFeatureTable |
Um usuário faz uma chamada para obter as tabelas de recursos. | - name |
featureStore |
getFeatureTablesById |
Um usuário faz uma chamada para obter as IDs da tabela de recursos. | - ids |
featureStore |
getFeatures |
Um usuário faz uma chamada para obter recursos. | - feature_table - max_results |
featureStore |
getModelServingMetadata |
Um usuário faz uma chamada para obter os metadados do Serviço de Modelo. | - feature_table_features |
featureStore |
getOnlineStore |
Um usuário faz uma chamada para obter os detalhes do repositório virtual. | - cloud - feature_table - online_table - store_type |
featureStore |
getTags |
Um usuário faz uma chamada para obter as marcas para uma tabela de recursos. | - feature_table_id |
featureStore |
publishFeatureTable |
Uma tabela de recursos foi publicada. | - cloud - feature_table - host - online_table - port - read_secret_prefix - store_type - write_secret_prefix |
featureStore |
searchFeatureTables |
Um usuário pesquisa tabelas de recursos. | - max_results - page_token - text |
featureStore |
setTags |
As marcas são adicionadas a uma tabela de recursos. | - feature_table_id - tags |
featureStore |
updateFeatureTable |
Uma tabela de recursos foi atualizada. | - description - name |
Eventos de arquivos
Os eventos filesystem
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
filesystem |
filesGet |
O usuário faz download de um arquivo usando a API Files ou a UI de volumes. | - path - transferredSize |
filesystem |
filesPut |
O usuário faz upload de um arquivo usando a API Files ou a interface do usuário de volumes. | - path - receivedSize |
filesystem |
filesDelete |
O usuário exclui um arquivo usando a API Files ou a UI de volumes. | - path |
filesystem |
filesHead |
O usuário obtém informações sobre um arquivo usando a API Files ou a UI de volumes. | - path |
Eventos do Genie
Os eventos genie
a seguir são registrados em log no nível do workspace.
Observação
Esse serviço não está relacionado aos espaços AI/BI Genie.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
genie |
databricksAccess |
Uma equipe do Databricks está autorizada a acessar o ambiente do cliente. | - duration - approver - reason - authType - user |
Eventos de credenciais do Git
Os eventos gitCredentials
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
gitCredentials |
getGitCredential |
Um usuário recebe as credenciais do Git. | - id |
gitCredentials |
listGitCredentials |
Um usuário lista todas as credenciais do Git | nenhum |
gitCredentials |
deleteGitCredential |
Um usuário exclui uma credencial do Git. | - id |
gitCredentials |
updateGitCredential |
Um usuário atualiza uma credencial do Git. | - id - git_provider - git_username |
gitCredentials |
createGitCredential |
Um usuário cria uma credencial do Git. | - git_provider - git_username |
Eventos de scripts de inicialização global
Os eventos globalInitScripts
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
globalInitScripts |
create |
Um administrador de workspace cria um script de inicialização global. | - name - position - script-SHA256 - enabled |
globalInitScripts |
update |
Um administrador de workspace atualiza um script de inicialização global. | - script_id - name - position - script-SHA256 - enabled |
globalInitScripts |
delete |
Um administrador de workspace exclui um script de inicialização global. | - script_id |
Eventos de grupos
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos groups
a seguir são registrados em log no nível do workspace. Essas ações estão relacionadas aos grupos de ACL herdados. Para ações relacionadas aos grupos de nível de conta e workspace, consulte Eventos de conta e Eventos de conta no nível da conta.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
groups |
addPrincipalToGroup |
Um administrador adiciona um usuário a um grupo. | - user_name - parent_name |
groups |
createGroup |
Um administrador cria um grupo. | - group_name |
groups |
getGroupMembers |
Um administrador exibe membros do grupo. | - group_name |
groups |
getGroups |
Um administrador exibe uma lista de grupos | nenhum |
groups |
getInheritedGroups |
Um administrador exibe grupos herdados | nenhum |
groups |
removeGroup |
Um administrador remove um grupo. | - group_name |
Eventos da função do IAM
O evento iamRole
a seguir é registrado em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
iamRole |
changeIamRoleAcl |
Um administrador de workspace altera as permissões para uma função do IAM. | - targetUserId - shardName - resourceId - aclPermissionSet |
Eventos de ingestão
O evento ingestion
a seguir é registrado em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
ingestion |
proxyFileUpload |
Um usuário carrega um arquivo no workspace do Azure Databricks. | - x-databricks-content-length-0 - x-databricks-total-files |
Eventos do pool de instâncias
Os eventos instancePools
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
instancePools |
changeInstancePoolAcl |
Um usuário altera as permissões de um pool de instâncias. | - shardName - resourceId - targetUserId - aclPermissionSet |
instancePools |
create |
Um usuário cria um pool de instâncias. | - enable_elastic_disk - preloaded_spark_versions - idle_instance_autotermination_minutes - instance_pool_name - node_type_id - custom_tags - max_capacity - min_idle_instances - aws_attributes |
instancePools |
delete |
Um usuário exclui um pool de instâncias. | - instance_pool_id |
instancePools |
edit |
Um usuário edita um pool de instâncias. | - instance_pool_name - idle_instance_autotermination_minutes - min_idle_instances - preloaded_spark_versions - max_capacity - enable_elastic_disk - node_type_id - instance_pool_id - aws_attributes |
Eventos do Trabalho
Os eventos jobs
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
jobs |
cancel |
A execução de um trabalho foi cancelada. | - run_id |
jobs |
cancelAllRuns |
Um usuário cancela todas as execuções em um trabalho. | - job_id |
jobs |
changeJobAcl |
Um usuário atualiza as permissões em um trabalho. | - shardName - aclPermissionSet - resourceId - targetUserId |
jobs |
create |
Um usuário cria um trabalho. | - spark_jar_task - email_notifications - notebook_task - spark_submit_task - timeout_seconds - libraries - name - spark_python_task - job_type - new_cluster - existing_cluster_id - max_retries - schedule - run_as |
jobs |
delete |
Um usuário exclui um trabalho. | - job_id |
jobs |
deleteRun |
Um usuário exclui a execução de um trabalho. | - run_id |
jobs |
getRunOutput |
Um usuário faz uma chamada de API para obter uma saída de execução. | - run_id - is_from_webapp |
jobs |
repairRun |
Um usuário repara a execução de um trabalho. | - run_id - latest_repair_id - rerun_tasks |
jobs |
reset |
Um trabalho foi redefinido. | - job_id - new_settings |
jobs |
resetJobAcl |
Um usuário solicita a alteração das permissões de um trabalho. | - grants - job_id |
jobs |
runCommand |
Disponível quando os logs de auditoria detalhados estão habilitados. Emitido depois que um comando em um notebook é executado por uma execução de trabalho. Um comando corresponde a uma célula em um notebook. | - jobId - runId - notebookId - executionTime - status - commandId - commandText |
jobs |
runFailed |
A execução de um trabalho falha. | - jobClusterType - jobTriggerType - jobId - jobTaskType - runId - jobTerminalState - idInJob - orgId - runCreatorUserName |
jobs |
runNow |
Um usuário dispara a execução de um trabalho sob demanda. | - notebook_params - job_id - jar_params - workflow_context |
jobs |
runStart |
Emitido quando a execução de um trabalho é iniciada após a validação e criação do cluster. Os parâmetros de solicitação emitidos por esse evento dependem do tipo de tarefa no trabalho. Além dos parâmetros listados, eles podem incluir: - dashboardId (para uma tarefa do painel do SQL)- filePath (para uma tarefa de arquivo do SQL)- notebookPath (para uma tarefa de notebook)- mainClassName (para uma tarefa de JAR do Spark )- pythonFile (para uma tarefa de JAR do Spark )- projectDirectory (para uma tarefa do dbt)- commands (para uma tarefa do dbt)- packageName (para uma tarefa de wheel em Python)- entryPoint (para uma tarefa de wheel em Python)- pipelineId (para uma tarefa de pipeline)- queryIds (para uma tarefa de consulta SQL)- alertId (para uma tarefa de alerta do SQL) |
- taskDependencies - multitaskParentRunId - orgId - idInJob - jobId - jobTerminalState - taskKey - jobTriggerType - jobTaskType - runId - runCreatorUserName |
jobs |
runSucceeded |
A execução de um trabalho foi bem-sucedida. | - idInJob - jobId - jobTriggerType - orgId - runId - jobClusterType - jobTaskType - jobTerminalState - runCreatorUserName |
jobs |
runTriggered |
Um agendamento de trabalho foi disparado automaticamente de acordo com seu agendamento ou gatilho. | - jobId - jobTriggeredType - runId |
jobs |
sendRunWebhook |
Um webhook é enviado quando o trabalho é iniciado, concluído ou falha. | - orgId - jobId - jobWebhookId - jobWebhookEvent - runId |
jobs |
setTaskValue |
Um usuário define os valores para uma tarefa. | - run_id - key |
jobs |
submitRun |
Um usuário envia uma execução única através da API. | - shell_command_task - run_name - spark_python_task - existing_cluster_id - notebook_task - timeout_seconds - libraries - new_cluster - spark_jar_task |
jobs |
update |
Um usuário edita as configurações de um trabalho. | - job_id - fields_to_remove - new_settings - is_from_dlt |
Marketplace consumer events
Os eventos marketplaceConsumer
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
marketplaceConsumer |
getDataProduct |
Um usuário obtém acesso a um produto de dados por meio do Databricks Marketplace. | - listing_id - listing_name - share_name - catalog_name - request_context : matriz de informações sobre a conta e o metastore que obtiveram acesso ao produto de dados |
marketplaceConsumer |
requestDataProduct |
Um usuário solicita acesso a um produto de dados que requer aprovação do provedor. | - listing_id - listing_name - catalog_name - request_context : matriz de informações sobre a conta e o metastore que obtiveram acesso ao produto de dados |
Eventos do provedor do Marketplace
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos marketplaceProvider
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
marketplaceProvider |
createListing |
Um administrador do metastore cria uma listagem em seu perfil de provedor. | - listing : matriz de detalhes sobre a listagem- request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
updateListing |
Um administrador do metastore faz uma atualização para uma listagem em seu perfil de provedor. | - id - listing : matriz de detalhes sobre a listagem- request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
deleteListing |
Um administrador do metastore exclui uma listagem em seu perfil de provedor. | - id - request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
updateConsumerRequestStatus |
Um administrador de metastore aprova ou nega uma solicitação de produto de dados. | - listing_id - request_id - status - reason - share : matriz de informações sobre o compartilhamento- request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
createProviderProfile |
Um administrador do metastore cria um perfil de provedor. | - provider : matriz de informações sobre o compartilhamento- request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
updateProviderProfile |
Um administrador do metastore faz uma atualização para seu perfil de provedor. | - id - provider : matriz de informações sobre o compartilhamento- request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
deleteProviderProfile |
Um administrador do metastore exclui seu perfil de provedor. | - id - request_context : matriz de informações sobre a conta e o metastore do provedor |
marketplaceProvider |
uploadFile |
Um provedor carrega um arquivo em seu perfil de provedor. | - request_context : matriz de informações sobre a conta e o metastore do provedor- marketplace_file_type - display_name - mime_type - file_parent : matriz de detalhes pai do arquivo |
marketplaceProvider |
deleteFile |
Um provedor exclui um arquivo de seu perfil de provedor. | - file_id - request_context : matriz de informações sobre a conta e o metastore do provedor |
Eventos de ACL com Artefatos do MLFlow
Os eventos mlflowAcledArtifact
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Um usuário faz uma chamada para ler um artefato. | - artifactLocation - experimentId - runId |
mlflowAcledArtifact |
writeArtifact |
Um usuário faz uma chamada para gravar em um artefato. | - artifactLocation - experimentId - runId |
Eventos do experimentos do MLFlow
Os eventos mlflowExperiment
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Um usuário cria um experimento do MLFlow. | - experimentId - path - experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Um usuário exclui um experimento do MLFlow. | - experimentId - path - experimentName |
mlflowExperiment |
moveMlflowExperiment |
Um usuário move um experimento do MLFlow. | - newPath - experimentId - oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Um usuário restaura um experimento do MLFlow. | - experimentId - path - experimentName |
mlflowExperiment |
renameMlflowExperiment |
Um usuário renomeia um experimento do MLFlow. | - oldName - newName - experimentId - parentPath |
Eventos do registro de modelo do MLFlow
Os eventos mlflowModelRegistry
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
modelRegistry |
approveTransitionRequest |
Um usuário aprova uma solicitação de transição de fase da versão do modelo. | - name - version - stage - archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Um usuário atualiza as permissões de um modelo registrado. | - registeredModelId - userId |
modelRegistry |
createComment |
Um usuário publica um comentário em uma versão do modelo. | - name - version |
modelRegistry |
createModelVersion |
Um usuário cria uma versão do modelo. | - name - source - run_id - tags - run_link |
modelRegistry |
createRegisteredModel |
Um usuário cria um novo modelo registrado | - name - tags |
modelRegistry |
createRegistryWebhook |
O usuário cria um webhook para os eventos do Registro de Modelo. | - orgId - registeredModelId - events - description - status - creatorId - httpUrlSpec |
modelRegistry |
createTransitionRequest |
Um usuário cria uma solicitação de transição de fase da versão do modelo. | - name - version - stage |
modelRegistry |
deleteComment |
Um usuário exclui um comentário em uma versão do modelo. | - id |
modelRegistry |
deleteModelVersion |
Um usuário exclui uma versão do modelo. | - name - version |
modelRegistry |
deleteModelVersionTag |
Um usuário exclui uma marca de versão do modelo. | - name - version - key |
modelRegistry |
deleteRegisteredModel |
Um usuário exclui um modelo registrado | - name |
modelRegistry |
deleteRegisteredModelTag |
Um usuário exclui a marca de um modelo registrado. | - name - key |
modelRegistry |
deleteRegistryWebhook |
O usuário exclui um webhook do Registro de Modelo. | - orgId - webhookId |
modelRegistry |
deleteTransitionRequest |
Um usuário cancela uma solicitação de transição de fase da versão do modelo. | - name - version - stage - creator |
modelRegistry |
finishCreateModelVersionAsync |
A cópia de modelo assíncrona foi concluída. | - name - version |
modelRegistry |
generateBatchInferenceNotebook |
O notebook de inferência do Lote é gerado automaticamente. | - userId - orgId - modelName - inputTableOpt - outputTablePathOpt - stageOrVersion - modelVersionEntityOpt - notebookPath |
modelRegistry |
generateDltInferenceNotebook |
O notebook de inferência de um pipeline do Delta Live Tables é gerado automaticamente. | - userId - orgId - modelName - inputTable - outputTable - stageOrVersion - notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Um usuário recebe um URI para baixar a versão do modelo. | - name - version |
modelRegistry |
getModelVersionSignedDownloadUri |
Um usuário recebe um URI para baixar uma versão do modelo assinada. | - name - version - path |
modelRegistry |
listModelArtifacts |
Um usuário faz uma chamada para listar os artefatos de um modelo. | - name - version - path - page_token |
modelRegistry |
listRegistryWebhooks |
Um usuário faz uma chamada para listar todos os webhooks do registro no modelo. | - orgId - registeredModelId |
modelRegistry |
rejectTransitionRequest |
Um usuário rejeita uma solicitação de transição de fase da versão do modelo. | - name - version - stage |
modelRegistry |
renameRegisteredModel |
Um usuário renomeia um modelo registrado | - name - new_name |
modelRegistry |
setEmailSubscriptionStatus |
Um usuário atualiza o status da assinatura de email de um modelo registrado | |
modelRegistry |
setModelVersionTag |
Um usuário define uma marca de versão do modelo. | - name - version - key - value |
modelRegistry |
setRegisteredModelTag |
Um usuário define uma marca de versão do modelo. | - name - key - value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Um usuário atualiza seu status de notificações por email para todo o registro. | - orgId - userId - subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Um usuário testa o webhook do Registro de Modelo. | - orgId - webhookId |
modelRegistry |
transitionModelVersionStage |
Um usuário obtém uma lista de todas as solicitações de transição de fase em aberto para a versão do modelo. | - name - version - stage - archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Um webhook do Registro de Modelo foi disparado por um evento. | - orgId - registeredModelId - events - status |
modelRegistry |
updateComment |
Um usuário publica uma edição em um comentário sobre uma versão do modelo. | - id |
modelRegistry |
updateRegistryWebhook |
Um usuário atualiza um webhook do Registro de Modelo. | - orgId - webhookId |
Eventos do Serviço de Modelo
Os eventos serverlessRealTimeInference
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
O usuário atualiza as permissões para um ponto de extremidade de inferência. | - shardName - targetUserId - resourceId - aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
O usuário cria um ponto de extremidade de serviço do modelo. | - name - config |
serverlessRealTimeInference |
deleteServingEndpoint |
O usuário exclui um ponto de extremidade de serviço do modelo. | - name |
serverlessRealTimeInference |
disable |
O usuário desativa o serviço do modelo para um modelo registrado. | - registered_mode_name |
serverlessRealTimeInference |
enable |
O usuário ativa o serviço do modelo para um modelo registrado. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Os usuários fazem uma chamada para obter a pré-visualização do esquema de consulta. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
O usuário atualiza um ponto de extremidade de serviço do modelo. | - name - served_models - traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
O usuário atualiza os limites de taxa de um ponto de extremidade de inferência. Os limites de taxa se aplicam apenas às APIs do Foundation Model com pagamento por token e aos pontos de extremidade de modelos externos. | - name - rate_limits |
Eventos do Notebook
Os eventos notebook
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
notebook |
attachNotebook |
Um notebook foi conectado a um cluster. | - path - clusterId - notebookId |
notebook |
cloneNotebook |
Um usuário clona um notebook. | - notebookId - path - clonedNotebookId - destinationPath |
notebook |
createNotebook |
Um notebook foi criado. | - notebookId - path |
notebook |
deleteFolder |
Uma pasta do notebook foi excluída. | - path |
notebook |
deleteNotebook |
Um notebook foi excluído. | - notebookId - notebookName - path |
notebook |
detachNotebook |
Um notebook foi desanexado de um cluster. | - notebookId - clusterId - path |
notebook |
downloadLargeResults |
Um usuário baixa resultados de consulta muito grandes para serem exibidos no notebook. | - notebookId - notebookFullPath |
notebook |
downloadPreviewResults |
Um usuário baixa os resultados da consulta. | - notebookId - notebookFullPath |
notebook |
importNotebook |
Um usuário importa um notebook. | - path |
notebook |
moveFolder |
Uma pasta do notebook foi movida de um local para outro. | - oldPath - newPath - folderId |
notebook |
moveNotebook |
Um notebook foi movido de um local para outro. | - newPath - oldPath - notebookId |
notebook |
renameNotebook |
Um notebook foi renomeado. | - newName - oldName - parentPath - notebookId |
notebook |
restoreFolder |
Uma pasta excluída foi restaurada. | - path |
notebook |
restoreNotebook |
Um notebook excluído é restaurado. | - path - notebookId - notebookName |
notebook |
runCommand |
Disponível quando os logs de auditoria detalhados estão habilitados. Emitido após o Databricks executar um comando em um notebook. Um comando corresponde a uma célula em um notebook.executionTime é medido em segundos. |
- notebookId - executionTime - status - commandId - commandText - commandLanguage |
notebook |
takeNotebookSnapshot |
Os instantâneos do notebook são obtidos quando o serviço de trabalho ou o MLFlow é executado. | - path |
Eventos do Partner Connect
Os eventos partnerHub
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Um administrador do workspace configura uma conexão com uma solução de parceiro. | - partner_name |
partnerHub |
deletePartnerConnection |
Um administrador do workspace exclui uma conexão com o parceiro. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Um administrador do workspace baixa o arquivo de conexão com o parceiro. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Um administrador do workspace configura os recursos para uma conexão com o parceiro. | - partner_name |
Eventos de otimização preditiva
Os eventos predictiveOptimization
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
predictiveOptimization |
PutMetrics |
Registrados quando a otimização preditiva atualiza as métricas de tabela e de carga de trabalho para que o serviço possa agendar operações de otimização de maneira mais inteligente. | - table_metrics_list - start_time - end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Um administrador de conta habilita ou desabilita a otimização preditiva para um metastore. | - metastore_id - enable |
Eventos do serviço de histórico remoto
Os eventos remoteHistoryService
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
O usuário adiciona as Credenciais do Github | none |
remoteHistoryService |
deleteUserGitHubCredentials |
O usuário remove as Credenciais do Github | none |
remoteHistoryService |
updateUserGitHubCredentials |
O usuário atualiza as Credenciais do Github | nenhum |
Eventos da pasta Git
Os eventos repos
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
repos |
checkoutBranch |
Um usuário faz o check-out de uma ramificação no repositório. | - id - branch |
repos |
commitAndPush |
Um usuário confirma e envia para um repositório. | - id - message - files - checkSensitiveToken |
repos |
createRepo |
Um usuário cria um repositório no espaço de trabalho | - url - provider - path |
repos |
deleteRepo |
Um usuário exclui um repositório. | - id |
repos |
discard |
Um usuário descarta uma confirmação em um repositório. | - id - file_paths |
repos |
getRepo |
Um usuário faz uma chamada para obter informações sobre um único repositório. | - id |
repos |
listRepos |
Um usuário faz uma chamada para obter todos os repositórios nos quais tem permissões de gerenciamento. | - path_prefix - next_page_token |
repos |
pull |
Um usuário efetuar pull das últimas confirmações de um repositório. | - id |
repos |
updateRepo |
Um usuário atualiza o repositório para uma ramificação ou marca diferente ou para a confirmação mais recente na mesma ramificação. | - id - branch - tag - git_url - git_provider |
Eventos de Segredo
Os eventos secrets
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
secrets |
createScope |
O usuário cria um escopo de segredo. | - scope - initial_manage_principal - scope_backend_type |
secrets |
deleteAcl |
O usuário exclui ACLs para um escopo de segredo. | - scope - principal |
secrets |
deleteScope |
O usuário exclui um escopo de segredo. | - scope |
secrets |
deleteSecret |
O usuário exclui um segredo de um escopo. | - key - scope |
secrets |
getAcl |
O usuário obtém ACLs para um escopo de segredo. | - scope - principal |
secrets |
getSecret |
O usuário obtém um segredo de um escopo. | - key - scope |
secrets |
listAcls |
O usuário faz uma chamada para listar ACLs para um escopo de segredo. | - scope |
secrets |
listScopes |
O usuário faz uma chamada para listar os escopos de segredo | nenhum |
secrets |
listSecrets |
O usuário faz uma chamada para listar os segredos dentro de um escopo. | - scope |
secrets |
putAcl |
O usuário altera as ACLs para um escopo de segredo. | - scope - principal - permission |
secrets |
putSecret |
O usuário adiciona ou edita um segredo dentro de um escopo. | - string_value - key - scope |
Eventos de acesso à tabela do SQL
Observação
O serviço sqlPermissions
inclui eventos relacionados ao controle de acesso à tabela de metastore do Hive herdado. O Databricks recomenda que você atualize as tabelas gerenciadas pelo metastore do Hive para o metastore do Catálogo do Unity.
Os eventos sqlPermissions
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
sqlPermissions |
changeSecurableOwner |
O administrador do espaço de trabalho ou proprietário de um objeto transfere a propriedade do objeto. | - securable - principal |
sqlPermissions |
createSecurable |
O usuário cria um objeto protegível. | - securable |
sqlPermissions |
denyPermission |
O proprietário do objeto nega os privilégios em um objeto protegível. | - permission |
sqlPermissions |
grantPermission |
O proprietário do objeto concede permissão em um objeto protegível. | - permission |
sqlPermissions |
removeAllPermissions |
O usuário descarta um objeto protegível. | - securable |
sqlPermissions |
renameSecurable |
O usuário renomeia um objeto protegível. | - before - after |
sqlPermissions |
requestPermissions |
O usuário solicita permissões em um objeto protegível. | - requests |
sqlPermissions |
revokePermission |
O proprietário do objeto revoga as permissões em seu objeto protegível. | - permission |
sqlPermissions |
showPermissions |
O usuário visualiza as permissões de objetos protegíveis. | - securable - principal |
eventos do SSH
Os eventos ssh
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
ssh |
login |
Logon do agente do SSH no driver do Spark. | - containerId - userName - port - publicKey - instanceId |
ssh |
logout |
Logoff do agente do SSH do driver do Spark. | - userName - containerId - instanceId |
Eventos de busca em vetores
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos vectorSearch
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
vectorSearch |
createEndpoint |
O usuário cria um ponto de extremidade de busca em vetores. | - name - endpoint_type |
vectorSearch |
deleteEndpoint |
O usuário exclui um ponto de extremidade de busca em vetores. | - name |
vectorSearch |
createVectorIndex |
O usuário cria um índice de busca em vetores. | - name - endpoint_name - primary_key - index_type - delta_sync_index_spec - direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
O usuário exclui um índice de busca em vetores. | - name - endpoint_name - delete_embedding_writeback_table |
Eventos de terminal da Web
Os eventos webTerminal
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
webTerminal |
startSession |
O usuário inicia uma sessão de terminal da Web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
webTerminal |
closeSession |
O usuário fecha uma sessão de terminal da Web. | - socketGUID - clusterId - serverPort - ProxyTargetURI |
Eventos do espaço de trabalho
Os eventos workspace
a seguir são registrados em log no nível do workspace.
Serviço | Nome da ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
workspace |
changeWorkspaceAcl |
As permissões para o espaço de trabalho são alteradas. | - shardName - targetUserId - aclPermissionSet - resourceId |
workspace |
deleteSetting |
Uma configuração foi excluída do workspace. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName |
workspace |
fileCreate |
O usuário cria um arquivo no workspace. | - path |
workspace |
fileDelete |
O usuário exclui um arquivo no workspace. | - path |
workspace |
fileEditorOpenEvent |
O usuário abre o editor de arquivos. | - notebookId - path |
workspace |
getRoleAssignment |
O usuário obtém as funções de usuário de um workspace. | - account_id - workspace_id |
workspace |
mintOAuthAuthorizationCode |
Registrado quando o código de autorização OAuth interno é obtido no nível do workspace. | - client_id |
workspace |
mintOAuthToken |
O token OAuth é obtido para o workspace. | - grant_type - scope - expires_in - client_id |
workspace |
moveWorkspaceNode |
Um administrador do workspace move o nó do workspace. | - destinationPath - path |
workspace |
purgeWorkspaceNodes |
Um administrador do workspace limpa os nós do workspace. | - treestoreId |
workspace |
reattachHomeFolder |
Uma pasta inicial existente é anexada novamente para um usuário que é adicionado novamente ao workspace. | - path |
workspace |
renameWorkspaceNode |
Um administrador do workspace renomeia os nós do workspace. | - path - destinationPath |
workspace |
unmarkHomeFolder |
Os atributos especiais da pasta inicial são removidos quando um usuário é removido do workspace. | - path |
workspace |
updateRoleAssignment |
Um administrador de workspace atualiza a função de um usuário do workspace. | - account_id - workspace_id - principal_id |
workspace |
updatePermissionAssignment |
Um administrador de workspace adiciona uma entidade de segurança ao workspace. | - principal_id - permissions |
workspace |
setSetting |
Um administrador de workspace define uma configuração do workspace. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
workspace |
workspaceConfEdit |
O administrador do workspace faz atualizações em uma configuração, por exemplo, habilitando os logs de auditoria detalhados. | - workspaceConfKeys - workspaceConfValues |
workspace |
workspaceExport |
O usuário exporta um notebook de um workspace. | - workspaceExportDirectDownload - workspaceExportFormat - notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
O cliente OAuth é autenticado no serviço do workspace. | - user |
Eventos de uso faturável
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos accountBillableUsage
a seguir são registrados em log no nível da conta.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
O usuário acessou o uso faturável agregado (uso por dia) da conta por meio do recurso Utilização do Graph. | - account_id - window_size - start_time - end_time - meter_name - workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
O usuário acessou o uso faturável detalhado (uso de cada cluster) da conta por meio do recurso Download de Uso. | - account_id - start_month - end_month - with_pii |
Eventos de conta no nível da conta
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos accounts
a seguir são registrados em log no nível da conta.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Um cliente OAuth foi autenticado. | - endpoint |
accounts |
accountIpAclsValidationFailed |
Falha na validação de permissões de IP. Retorna statusCode 403. | - sourceIpAddress - user : registrado como um endereço de email |
accounts |
activateUser |
Um usuário é reativado após ser desativado. Confira Desativar usuários na conta. | - targetUserName - endpoint - targetUserId |
accounts |
add |
Um usuário é adicionado à conta do Azure Databricks. | - targetUserName - endpoint - targetUserId |
accounts |
addPrincipalToGroup |
Um usuário é adicionado a um grupo no nível da conta. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
addPrincipalsToGroup |
Os usuários são adicionados a um grupo no nível da conta usando o provisionamento do SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
createGroup |
Um grupo no nível da conta é criado. | - endpoint - targetGroupId - targetGroupName |
accounts |
deactivateUser |
Um usuário é desativado. Confira Desativar usuários na conta. | - targetUserName - endpoint - targetUserId |
accounts |
delete |
Um usuário foi excluído da conta do Azure Databricks. | - targetUserId - targetUserName - endpoint |
accounts |
deleteSetting |
O administrador da conta remove uma configuração da conta do Azure Databricks. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
garbageCollectDbToken |
Um usuário executa um comando de coleta de lixo em tokens expirados. | - tokenExpirationTime - tokenClientId - userId - tokenCreationTime - tokenFirstAccessed |
accounts |
generateDbToken |
Um usuário gera um token a partir das Configurações do Usuário ou quando o serviço gera o token. | - tokenExpirationTime - tokenCreatedBy - tokenHash - userId |
accounts |
login |
Um usuário faz logon no console da conta. | - user |
accounts |
logout |
Um usuário sai do console da conta. | - user |
accounts |
oidcBrowserLogin |
Um usuário faz logon na respectiva conta com o fluxo de trabalho do navegador do OpenID Connect. | - user |
accounts |
oidcTokenAuthorization |
Um token do OIDC é autenticado para um logon de administrador de conta. | - user |
accounts |
removeAccountAdmin |
Um administrador de conta remove as permissões de administrador de conta de outro usuário. | - targetUserName - endpoint - targetUserId |
accounts |
removeGroup |
Um grupo foi removido da conta. | - targetGroupId - targetGroupName - endpoint |
accounts |
removePrincipalFromGroup |
Um usuário é removido de um grupo no nível da conta. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
removePrincipalsFromGroup |
Os usuários são removidos de um grupo no nível da conta usando o provisionamento do SCIM. | - targetGroupId - endpoint - targetUserId - targetGroupName - targetUserName |
accounts |
setAccountAdmin |
Um administrador de conta atribui a função de administrador de conta a outro usuário. | - targetUserName - endpoint - targetUserId |
accounts |
setSetting |
Um administrador de conta atualiza uma configuração de nível de conta. | - settingKeyTypeName - settingKeyName - settingTypeName - settingName - settingValueForAudit |
accounts |
tokenLogin |
Um usuário faz logon no Databricks usando um token. | - tokenId - user |
accounts |
updateUser |
Um administrador de conta atualiza uma conta de usuário. | - targetUserName - endpoint - targetUserId |
accounts |
updateGroup |
Um administrador de conta atualiza um grupo no nível da conta. | - endpoint - targetGroupId - targetGroupName |
accounts |
validateEmail |
Quando um usuário valida seu email após a criação da conta. | - endpoint - targetUserName - targetUserId |
Eventos de controle de acesso no nível da conta
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
O evento accountsAccessControl
a seguir é registrado em log no nível da conta.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
accountsAccessControl |
updateRuleSet |
Quando um conjunto de regras é alterado. | - account_id - name - rule_set |
Eventos de gerenciamento de conta
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos accountsManager
a seguir são registrados em log no nível da conta. Esses eventos têm a ver com as configurações feitas pelos administradores da conta no console da conta.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
O administrador da conta criou uma configuração de conectividade de rede. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
O administrador da conta solicita detalhes sobre uma configuração de conectividade de rede. | - account_id - network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
O administrador da conta lista todas as configurações de conectividade de rede na conta. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
O administrador da conta excluiu uma configuração de conectividade de rede. | - account_id - network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
O administrador da conta criou uma regra de ponto de extremidade privado. | - account_id - network_connectivity_config_id - azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
O administrador da conta solicita detalhes sobre uma regra de ponto de extremidade privado. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
O administrador da conta lista todas as regras de ponto de extremidade privado em uma configuração de conectividade de rede. | - account_id - network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
O administrador da conta excluiu uma regra de ponto de extremidade privado. | - account_id - network_connectivity_config_id - rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
O administrador da conta atualizou uma regra de ponto de extremidade privado. | - account_id - network_connectivity_config_id - rule_id - azure_private_endpoint_rule |
Eventos de política orçamental
Os eventos a seguir budgetPolicyCentral
são registrados no nível da conta e estão relacionados às políticas de orçamento. Consulte Atribua o uso sem servidor com políticas de orçamento.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
O administrador do espaço de trabalho ou o administrador de cobrança cria uma política de orçamento. O novo policy_id é registrado na response coluna. |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
O administrador do espaço de trabalho, o administrador de cobrança ou o gerente de políticas atualiza uma política de orçamento. | - policy.policy_id - policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
O administrador do espaço de trabalho, o administrador de cobrança ou o gerente de políticas exclui uma política de orçamento. | - policy_id |
Eventos do Catálogo do Unity
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os seguintes eventos de diagnóstico estão relacionados ao Catálogo do Unity. Os eventos do Compartilhamento Delta também estão registrados no serviço unityCatalog
. Isso também inclui eventos do Compartilhamento Delta. Consulte Eventos de Compartilhamento Delta. Os eventos de auditoria do Catálogo do Unity podem ser registrados no nível do workspace ou no nível da conta, dependendo do evento.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
unityCatalog |
createMetastore |
O administrador da conta cria um metastore. | - name - storage_root - workspace_id - metastore_id |
unityCatalog |
getMetastore |
O administrador da conta solicita a ID do metastore. | - id - workspace_id - metastore_id |
unityCatalog |
getMetastoreSummary |
O administrador da conta solicita os detalhes sobre um metastore. | - workspace_id - metastore_id |
unityCatalog |
listMetastores |
O administrador da conta solicita uma lista de todos os metastores em uma conta. | - workspace_id |
unityCatalog |
updateMetastore |
O administrador da conta faz uma atualização em um metastore. | - id - owner - workspace_id - metastore_id |
unityCatalog |
deleteMetastore |
O administrador da conta exclui um metastore. | - id - force - workspace_id - metastore_id |
unityCatalog |
updateMetastoreAssignment |
O administrador da conta faz uma atualização na atribuição do workspace de um metastore. | - workspace_id - metastore_id - default_catalog_name |
unityCatalog |
createExternalLocation |
O administrador da conta cria uma localização externa. | - name - skip_validation - url - credential_name - workspace_id - metastore_id |
unityCatalog |
getExternalLocation |
O administrador da conta solicita os detalhes sobre uma localização externa. | - name_arg - include_browse - workspace_id - metastore_id |
unityCatalog |
listExternalLocations |
O administrador da conta solicita uma lista de todas as localização externas em uma conta. | - url - max_results - workspace_id - metastore_id |
unityCatalog |
updateExternalLocation |
O administrador da conta faz uma atualização em uma localização externa. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteExternalLocation |
O administrador da conta exclui uma localização externa. | - name_arg - force - workspace_id - metastore_id |
unityCatalog |
createCatalog |
O usuário cria um catálogo. | - name - comment - workspace_id - metastore_id |
unityCatalog |
deleteCatalog |
O usuário exclui um catálogo. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getCatalog |
O usuário solicita os detalhes sobre um catálogo. | - name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
updateCatalog |
O usuário atualiza um catálogo. | - name_arg - isolation_mode - comment - workspace_id - metastore_id |
unityCatalog |
listCatalog |
O usuário faz uma chamada para listar todos os catálogos no metastore. | - name_arg - workspace_id - metastore_id |
unityCatalog |
createSchema |
O usuário cria um esquema. | - name - catalog_name - comment - workspace_id - metastore_id |
unityCatalog |
deleteSchema |
O usuário exclui um esquema. | - full_name_arg - force - workspace_id - metastore_id |
unityCatalog |
getSchema |
O usuário solicita os detalhes sobre um esquema. | - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
listSchema |
O usuário solicita uma lista de todos os esquemas em um catálogo. | - catalog_name |
unityCatalog |
updateSchema |
O usuário atualiza um esquema. | - full_name_arg - name - workspace_id - metastore_id - comment |
unityCatalog |
createStagingTable |
- name - catalog_name - schema_name - workspace_id - metastore_id |
|
unityCatalog |
createTable |
O usuário cria uma tabela. Os parâmetros de solicitação diferem dependendo do tipo de tabela criada. | - name - data_source_format - catalog_name - schema_name - storage_location - columns - dry_run - table_type - view_dependencies - view_definition - sql_path - comment |
unityCatalog |
deleteTable |
O usuário exclui uma tabela. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
getTable |
O usuário solicita os detalhes sobre uma tabela. | - include_delta_metadata - full_name_arg - dependent - workspace_id - metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
O usuário faz uma chamada para listar todas as tabelas em um esquema. | - catalog_name - schema_name - workspace_id - metastore_id - include_browse |
unityCatalog |
listTableSummaries |
O usuário obtém uma matriz de resumos de tabelas para um esquema e catálogo dentro do metastore. | - catalog_name - schema_name_pattern - workspace_id - metastore_id |
unityCatalog |
updateTables |
O usuário faz uma atualização em uma tabela. Os parâmetros de solicitação exibidos variam dependendo do tipo de atualizações de tabela feitas. | - full_name_arg - table_type - table_constraint_list - data_source_format - columns - dependent - row_filter - storage_location - sql_path - view_definition - view_dependencies - owner - comment - workspace_id - metastore_id |
unityCatalog |
createStorageCredential |
O administrador da conta cria uma credencial de armazenamento. Você pode ver um parâmetro de solicitação adicional com base em suas credenciais de provedor de nuvem. | - name - comment - workspace_id - metastore_id |
unityCatalog |
listStorageCredentials |
O administrador da conta faz uma chamada para listar todas as credenciais de armazenamento na conta. | - workspace_id - metastore_id |
unityCatalog |
getStorageCredential |
O administrador da conta solicita os detalhes sobre uma credencial de armazenamento. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateStorageCredential |
O administrador da conta faz uma atualização em uma credencial de armazenamento. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
deleteStorageCredential |
O administrador da conta exclui uma credencial de armazenamento. | - name_arg - workspace_id - metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Registrado sempre que uma credencial temporária é concedida para uma tabela. Você pode usar esse evento para determinar quem consultou o quê e quando. | - credential_id - credential_type - is_permissions_enforcing_client - table_full_name - operation - table_id - workspace_id - table_url - metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Registrado sempre que uma credencial temporária é concedida para um caminho. | - url - operation - make_path_only_parent - workspace_id - metastore_id |
unityCatalog |
getPermissions |
O usuário faz uma chamada para obter detalhes de permissão para um objeto protegível. Essa chamada não retorna permissões herdadas, apenas permissões atribuídas explicitamente. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getEffectivePermissions |
O usuário faz uma chamada para obter todos os detalhes de permissão de um objeto protegível. Uma chamada de permissões efetivas retorna permissões explicitamente atribuídas e herdadas. | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
updatePermissions |
O usuário atualiza as permissões em um objeto protegível. | - securable_type - changes - securable_full_name - workspace_id - metastore_id |
unityCatalog |
metadataSnapshot |
O usuário consulta os metadados de uma versão anterior da tabela. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
O usuário consulta os metadados e as permissões de uma versão anterior da tabela. | - securables - include_delta_metadata - workspace_id - metastore_id |
unityCatalog |
updateMetadataSnapshot |
O usuário atualiza os metadados de uma versão anterior da tabela. | - table_list_snapshots - schema_list_snapshots - workspace_id - metastore_id |
unityCatalog |
getForeignCredentials |
O usuário faz uma chamada para obter os detalhes sobre uma chave estrangeira. | - securables - workspace_id - metastore_id |
unityCatalog |
getInformationSchema |
O usuário faz uma chamada para obter os detalhes sobre um esquema. | - table_name - page_token - required_column_names - row_set_type - required_column_names - workspace_id - metastore_id |
unityCatalog |
createConstraint |
O usuário cria uma restrição para uma tabela. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
deleteConstraint |
O usuário exclui uma restrição para uma tabela. | - full_name_arg - constraint - workspace_id - metastore_id |
unityCatalog |
createPipeline |
O usuário cria um pipeline do Catálogo do Unity. | - target_catalog_name - has_workspace_definition - id - workspace_id - metastore_id |
unityCatalog |
updatePipeline |
O usuário atualiza um pipeline do Catálogo do Unity. | - id_arg - definition_json - id - workspace_id - metastore_id |
unityCatalog |
getPipeline |
O usuário solicita os detalhes sobre um pipeline do Catálogo do Unity. | - id - workspace_id - metastore_id |
unityCatalog |
deletePipeline |
O usuário exclui um pipeline do Catálogo do Unity. | - id - workspace_id - metastore_id |
unityCatalog |
deleteResourceFailure |
Falha ao excluir o recurso | nenhum |
unityCatalog |
createVolume |
O usuário cria um volume do Catálogo do Unity. | - name - catalog_name - schema_name - volume_type - storage_location - owner - comment - workspace_id - metastore_id |
unityCatalog |
getVolume |
O usuário faz uma chamada para obter informações sobre um volume do Catálogo do Unity. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
updateVolume |
O usuário atualiza os metadados de um volume do Catálogo do Unity com as chamadas ALTER VOLUME ou COMMENT ON . |
- volume_full_name - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteVolume |
O usuário exclui um volume do Catálogo do Unity. | - volume_full_name - workspace_id - metastore_id |
unityCatalog |
listVolumes |
O usuário faz uma chamada para obter uma lista de todos os volumes do Catálogo do Unity em um esquema. | - catalog_name - schema_name - workspace_id - metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Uma credencial temporária é gerada quando um usuário executa uma leitura ou gravação em um volume. Você pode usar esse evento para determinar quem acessou um volume e quando. | - volume_id - volume_full_name - operation - volume_storage_location - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
getTagSecurableAssignments |
As atribuições de marca para um protegível são buscadas | - securable_type - securable_full_name - workspace_id - metastore_id |
unityCatalog |
getTagSubentityAssignments |
As atribuições de marca para uma subentidade são buscadas | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
As atribuições de marca para um protegível são atualizadas | - securable_type - securable_full_name - workspace_id - metastore_id - changes |
unityCatalog |
UpdateTagSubentityAssignments |
As atribuições de marca para uma subentidade são atualizadas | - securable_type - securable_full_name - workspace_id - metastore_id - subentity_name - changes |
unityCatalog |
createRegisteredModel |
O usuário cria um modelo registrado do Catálogo do Unity. | - name - catalog_name - schema_name - owner - comment - workspace_id - metastore_id |
unityCatalog |
getRegisteredModel |
O usuário faz uma chamada para obter informações sobre um modelo registrado do Catálogo do Unity. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
updateRegisteredModel |
O usuário atualiza os metadados de um modelo registrado do Catálogo do Unity. | - full_name_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteRegisteredModel |
O usuário exclui um modelo registrado do Catálogo do Unity. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
listRegisteredModels |
O usuário faz uma chamada para obter uma lista de modelos registrados do Catálogo do Unity em um esquema ou listar modelos entre catálogos e esquemas. | - catalog_name - schema_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
createModelVersion |
O usuário cria um pipeline do Catálogo do Unity. | - catalog_name - schema_name - model_name - source - comment - workspace_id - metastore_id |
unityCatalog |
finalizeModelVersion |
O usuário faz uma chamada para "finalizar" uma versão de modelo do Catálogo do Unity depois de carregar arquivos de versão do modelo em seu local de armazenamento, tornando-o somente leitura e utilizável em fluxos de trabalho de inferência. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersion |
O usuário faz uma chamada para obter os detalhes sobre uma versão do modelo. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
getModelVersionByAlias |
O usuário faz uma chamada para obter os detalhes sobre uma versão do modelo usando o alias. | - full_name_arg - include_aliases - alias_arg - workspace_id - metastore_id |
unityCatalog |
updateModelVersion |
O usuário atualiza os metadados de uma versão do modelo. | - full_name_arg - version_arg - name - owner - comment - workspace_id - metastore_id |
unityCatalog |
deleteModelVersion |
Um usuário exclui uma versão do modelo. | - full_name_arg - version_arg - workspace_id - metastore_id |
unityCatalog |
listModelVersions |
O usuário faz uma chamada para obter uma lista de versões do modelo do Unity Catalog em um modelo registrado. | - catalog_name - schema_name - model_name - max_results - page_token - workspace_id - metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Uma credencial temporária é gerada quando um usuário executa uma gravação (durante a criação da versão do modelo inicial) ou lida (depois que a versão do modelo é finalizada) em uma versão do modelo. Você pode usar esse evento para determinar quem acessou um volume e quando. | - full_name_arg - version_arg - operation - model_version_url - credential_id - credential_type - workspace_id - metastore_id |
unityCatalog |
setRegisteredModelAlias |
O usuário define um alias em um modelo registrado do Catálogo do Unity. | - full_name_arg - alias_arg - version |
unityCatalog |
deleteRegisteredModelAlias |
O usuário exclui um alias em um modelo registrado do Catálogo do Unity. | - full_name_arg - alias_arg |
unityCatalog |
getModelVersionByAlias |
O usuário obtém uma versão do modelo do Catálogo do Unity por alias. | - full_name_arg - alias_arg |
unityCatalog |
createConnection |
Uma nova conexão externa é criada. | - name - connection_type - workspace_id - metastore_id |
unityCatalog |
deleteConnection |
Uma conexão externa é excluída. | - name_arg - workspace_id - metastore_id |
unityCatalog |
getConnection |
Uma conexão externa é recuperada. | - name_arg - workspace_id - metastore_id |
unityCatalog |
updateConnection |
Uma conexão externa é atualizada. | - name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listConnections |
As conexões externas em um metastore são listadas. | - workspace_id - metastore_id |
unityCatalog |
createFunction |
O usuário cria uma nova função. | - function_info - workspace_id - metastore_id |
unityCatalog |
updateFunction |
O usuário atualiza uma função. | - full_name_arg - owner - workspace_id - metastore_id |
unityCatalog |
listFunctions |
O usuário solicita uma lista de todas as funções em um catálogo ou esquema pai específico. | - catalog_name - schema_name - include_browse - workspace_id - metastore_id |
unityCatalog |
getFunction |
O usuário solicita uma função de um catálogo ou esquema pai. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
deleteFunction |
O usuário solicita uma função de um catálogo ou esquema pai. | - full_name_arg - workspace_id - metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos - metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos - metastore_id |
Eventos do Compartilhamento Delta
Observação
Este serviço não está disponível nas configurações de diagnóstico do Azure. Habilite a tabela do sistema de logs de auditoria para acessar esses eventos.
Os eventos do Compartilhamento Delta são divididos em duas seções: eventos registrados na conta do provedor de dados e eventos registrados na conta do destinatário de dados.
Eventos do Provedor do Compartilhamento Delta
Os eventos de log de auditoria a seguir são registrados na conta do provedor. As ações executadas pelos destinatários começam com o prefixo deltaSharing
. Cada um desses logs também inclui request_params.metastore_id
, que é o metastore que gerencia os dados compartilhados e userIdentity.email
, que é a ID do usuário que iniciou a atividade.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
unityCatalog |
deltaSharingListShares |
Um destinatário de dados solicita uma lista de compartilhamentos. | - options : as opções de paginação fornecidas com essa solicitação.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingGetShare |
Um destinatário de dados solicita detalhes sobre um compartilhamento. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListSchemas |
Um destinatário de dados solicita uma lista de esquemas. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- options : as opções de paginação fornecidas com essa solicitação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListAllTables |
Um destinatário de dados solicita uma lista de todas as tabelas compartilhadas. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListTables |
Um destinatário de dados solicita uma lista de tabelas compartilhadas. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- options : as opções de paginação fornecidas com essa solicitação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingGetTableMetadata |
Um destinatário de dados solicita detalhes sobre os metadados de uma tabela. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- schema : o nome do esquema.- name : o nome da tabela.- predicateHints : os predicados incluídos na consulta.- limitHints : O número máximo de linhas a ser retornado.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingGetTableVersion |
Um destinatário de dados solicita detalhes sobre a versão de uma tabela. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- schema : o nome do esquema.- name : o nome da tabela.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingQueryTable |
Registrado quando um destinatário de dados consulta uma tabela compartilhada. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- schema : o nome do esquema.- name : o nome da tabela.- predicateHints : os predicados incluídos na consulta.- limitHints : O número máximo de linhas a ser retornado.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingQueryTableChanges |
Registrado quando um destinatário de dados consulta os dados alterados de uma tabela. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- schema : o nome do esquema.- name : o nome da tabela.- cdf_options : altera as opções do feed de dados.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingQueriedTable |
Registrado depois que um destinatário de dados recebe uma resposta à consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados) |
- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingQueriedTableChanges |
Registrado depois que um destinatário de dados recebe uma resposta à consulta. O campo response.result inclui mais informações sobre a consulta do destinatário (consulte Auditar e monitorar o compartilhamento de dados). |
- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListNotebookFiles |
Um destinatário de dados solicita uma lista de arquivos de notebook compartilhados. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingQueryNotebookFile |
Um destinatário de dados consulta um arquivo de notebook compartilhado. | - file_name : o nome do arquivo de notebook.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListFunctions |
Um destinatário de dados solicita uma lista de funções em um esquema pai. | - share : o nome do compartilhamento.- schema : o nome do esquema pai da função.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListAllFunctions |
Um destinatário de dados solicita uma lista de todas as funções compartilhadas. | - share : o nome do compartilhamento.- schema : o nome do esquema pai da função.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListFunctionVersions |
Um destinatário de dados solicita uma lista de versões de função. | - share : o nome do compartilhamento.- schema : o nome do esquema pai da função.- function : o nome da função- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListVolumes |
Um destinatário de dados solicita uma lista de volumes compartilhados em u esquema. | - share : o nome do compartilhamento.- schema : o esquema pai dos volumes.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
deltaSharingListAllVolumes |
Um destinatário de dados solicita todos os volumes compartilhados. | - share : o nome do compartilhamento.- recipient_name : indica o destinatário que está executando a ação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se a solicitação não foi negada. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
updateMetastore |
O provedor atualiza seu metastore. | - delta_sharing_scope : os valores podem ser INTERNAL ou INTERNAL_AND_EXTERNAL .- delta_sharing_recipient_token_lifetime_in_seconds : se ele está presente, indica que o tempo de vida do token de destinatário foi atualizado. |
unityCatalog |
createRecipient |
O provedor cria um destinatário de dados. | - name : o nome do destinatário.- comment : o comentário para o destinatário.- ip_access_list.allowed_ip_addresses: lista de permitidos do endereço IP do destinatário. |
unityCatalog |
deleteRecipient |
O provedor cria um destinatário de dados. | - name : o nome do destinatário. |
unityCatalog |
getRecipient |
O provedor solicita detalhes sobre um destinatário de dados. | - name : o nome do destinatário. |
unityCatalog |
listRecipients |
O provedor solicita uma lista de todos os destinatários de dados. | nenhum |
unityCatalog |
rotateRecipientToken |
O provedor gira o token de um destinatário. | - name : o nome do destinatário.- comment : o comentário fornecido no comando de rotação. |
unityCatalog |
updateRecipient |
O provedor atualiza os atributos de um destinatário de dados. | - name : o nome do destinatário.- updates : uma representação JSON de atributos do destinatário que foram adicionados ou removidos do compartilhamento. |
unityCatalog |
createShare |
O provedor atualiza os atributos de um destinatário de dados. | - name : o nome do compartilhamento.- comment : o comentário para o compartilhamento. |
unityCatalog |
deleteShare |
O provedor atualiza os atributos de um destinatário de dados. | - name : o nome do compartilhamento. |
unityCatalog |
getShare |
O usuário solicita os detalhes sobre um compartilhamento. | - name : o nome do compartilhamento.- include_shared_objects : indica se os nomes da tabela do compartilhamento foram incluídos na solicitação. |
unityCatalog |
updateShare |
O provedor adiciona ou remove ativos de dados de um compartilhamento. | - name : o nome do compartilhamento.- updates : uma representação JSON de ativos de dados que foram adicionados ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover), name (o nome real da tabela), shared_as (o nome com o qual o esquema e a tabela foram compartilhados, se diferentes do nome real) e partition_specification (se uma especificação de partição tiver sido fornecida). |
unityCatalog |
listShares |
O provedor solicita uma lista de seus compartilhamentos. | nenhum |
unityCatalog |
getSharePermissions |
O provedor solicita detalhes sobre as permissões de um compartilhamento. | - name : o nome do compartilhamento. |
unityCatalog |
updateSharePermissions |
O provedor atualiza as permissões de compartilhamento. | - name : o nome do compartilhamento.- changes : uma representação JSON das permissões atualizadas. Cada alteração inclui principal (o usuário ou o grupo a quem a permissão foi concedida ou revogada), add (a lista de permissões que foram concedidas) e remove (a lista de permissões que foram revogadas). |
unityCatalog |
getRecipientSharePermissions |
O provedor solicita detalhes sobre as permissões de compartilhamento de um destinatário. | - name : o nome do compartilhamento. |
unityCatalog |
getActivationUrlInfo |
O provedor solicita detalhes sobre a atividade no link de ativação. | - recipient_name : o nome do destinatário que abriu a URL de ativação.- is_ip_access_denied : nenhum se não houver nenhuma lista de acesso de IP configurada. Caso contrário, true se a solicitação foi negada e false se o pedido não foi negado. sourceIPaddress é o endereço IP do destinatário. |
unityCatalog |
generateTemporaryVolumeCredential |
A credencial temporária é gerada para o destinatário acessar um volume compartilhado. | - share_name : o nome do compartilhamento por meio do qual o destinatário faz a solicitação.- share_id : a ID do compartilhamento.- share_owner : o proprietário do compartilhamento.- recipient_name : o nome do destinatário que solicita a credencial.- recipient_id : a ID do destinatário.- volume_full_name : o nome completo de 3 níveis do volume.- volume_id : a ID do volume.- volume_storage_location : o caminho da nuvem da raiz do volume.- operation : READ_VOLUME ou WRITE_VOLUME . Para compartilhamento de volume, há suporte apenas para READ_VOLUME .- credential_id : a ID da credencial.- credential_type : o tipo da credencial. O valor padrão é sempre StorageCredential .- workspace_id : o valor é sempre 0 quando a solicitação é para volumes compartilhados. |
unityCatalog |
generateTemporaryTableCredential |
A credencial temporária é gerada para o destinatário acessar um volume compartilhado. | - share_name : o nome do compartilhamento por meio do qual o destinatário faz a solicitação.- share_id : a ID do compartilhamento.- share_owner : o proprietário do compartilhamento.- recipient_name : o nome do destinatário que solicita a credencial.- recipient_id : a ID do destinatário.- table_full_name : o nome completo de três níveis da tabela.- table_id : a ID da tabela.- table_url : o caminho da nuvem da raiz da tabela.- operation : READ ou READ_WRITE .- credential_id : a ID da credencial.- credential_type : o tipo da credencial. O valor é sempre StorageCredential .- workspace_id : o valor é sempre 0 quando a solicitação é para tabelas compartilhadss. |
Eventos de destinatário do Compartilhamento Delta
Os eventos a seguir são registrados na conta do destinatário de dados. Esses eventos registram o acesso de destinatário de dados compartilhados e ativos de IA, juntamente com eventos associados ao gerenciamento de provedores. Cada um desses eventos também inclui os seguintes parâmetros de solicitação:
recipient_name
: o nome do destinatário no sistema do provedor de dados.metastore_id
: o nome do metastore no sistema do provedor de dados.sourceIPAddress
: o endereço IP em que a solicitação foi originada.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Um destinatário de dados solicita detalhes em uma versão de tabela compartilhada. | - share : o nome do compartilhamento.- schema : O nome do esquema pai da tabela.- name : o nome da tabela. |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Um destinatário de dados solicita detalhes sobre os metadados de uma tabela compartilhada. | - share : o nome do compartilhamento.- schema : O nome do esquema pai da tabela.- name : o nome da tabela. |
unityCatalog |
deltaSharingProxyQueryTable |
Um destinatário de dados consulta uma tabela compartilhada. | - share : o nome do compartilhamento.- schema : O nome do esquema pai da tabela.- name : o nome da tabela.- limitHints : O número máximo de linhas a ser retornado.- predicateHints : os predicados incluídos na consulta.- version : versão da tabela, se o feed de dados de alterações estiver habilitado. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Uma consulta de destinatário de dados altera os dados de uma tabela. | - share : o nome do compartilhamento.- schema : O nome do esquema pai da tabela.- name : o nome da tabela.- cdf_options : altera as opções do feed de dados. |
unityCatalog |
createProvider |
Um destinatário de dados cria um objeto de provedor. | - name : o nome do provedor.- comment : o comentário para o provedor. |
unityCatalog |
updateProvider |
Um destinatário de dados atualiza um objeto de provedor. | - name : o nome do provedor.- updates : uma representação JSON de atributos do provedor que foram adicionados ao ou removidos do compartilhamento. Cada item inclui action (adicionar ou remover) e pode incluir name (o novo nome do provedor), owner (novo proprietário) e comment . |
unityCatalog |
deleteProvider |
Um destinatário de dados exclui um objeto de provedor. | - name : o nome do provedor. |
unityCatalog |
getProvider |
Um destinatário de dados solicita detalhes sobre um objeto de provedor. | - name : o nome do provedor. |
unityCatalog |
listProviders |
Um destinatário de dados solicita uma lista de provedores. | nenhum |
unityCatalog |
activateProvider |
Um destinatário de dados ativa um objeto de provedor. | - name : o nome do provedor. |
unityCatalog |
listProviderShares |
Um destinatário de dados solicita uma lista dos compartilhamentos de um provedor. | - name : o nome do provedor. |
unityCatalog |
generateTemporaryVolumeCredential |
A credencial temporária é gerada para o destinatário acessar um volume compartilhado. | - share_name : o nome do compartilhamento por meio do qual o destinatário faz a solicitação.- volume_full_name : o nome completo de 3 níveis do volume.- volume_id : a ID do volume.- operation : READ_VOLUME ou WRITE_VOLUME . Para compartilhamento de volume, há suporte apenas para READ_VOLUME .- workspace_id : a ID do workspace que recebe a solicitação do usuário. |
unityCatalog |
generateTemporaryTableCredential |
A credencial temporária é gerada para o destinatário acessar um volume compartilhado. | - share_name : o nome do compartilhamento por meio do qual o destinatário faz a solicitação.- table_full_name : o nome completo de três níveis da tabela.- table_id : a ID da tabela.- operation : READ ou READ_WRITE .- workspace_id : a ID do workspace que recebe a solicitação do usuário. |
Eventos adicionais de monitoramento de segurança
Os seguintes recursos habilitam agentes de monitoramento adicionais para recursos de computação do Azure Databricks no plano de computação clássico, por exemplo, VMs para clusters e SQL warehouses profissionais ou clássicos:
- Monitoramento de segurança aprimorado
- Perfil de segurança de conformidade. O perfil de segurança de conformidade é necessário para os controles de conformidade do PCI-DSS.
Eventos de monitoramento de integridade
Os eventos capsule8-alerts-dataplane
a seguir são registrados em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Um evento regular para confirmar que o monitor está ativado. Atualmente, ele é executado a cada 10 minutos. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
A memória geralmente é marcada como executável para permitir que códigos mal-intencionados sejam executados quando um aplicativo está sendo explorado. Alerta quando um programa define permissões de memória de pilha ou pilha como executável. Isso pode causar falsos positivos para determinados servidores de aplicativos. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Monitora a integridade de arquivos importantes do sistema. Alertas sobre quaisquer alterações não autorizadas nesses arquivos. O Databricks define conjuntos específicos de caminhos do sistema na imagem; esse conjunto de caminhos pode mudar ao longo do tempo. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Alterações nas unidades systemd podem resultar no relaxamento ou na desabilitação dos controles de segurança, ou na instalação de um serviço mal-intencionado. Alertas sempre que um arquivo de unidade systemd é modificado por um programa diferente de systemctl . |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Falhas repetidas do programa podem indicar que um invasor está tentando explorar uma vulnerabilidade de corrupção de memória ou que há um problema de estabilidade no aplicativo afetado. Alerta quando mais de cinco instâncias de um programa individual falham por falha de segmentação. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Como os contêineres geralmente são cargas de trabalho estáticas, esse alerta pode indicar que um invasor comprometeu o contêiner e está tentando instalar e executar um backdoor. Alerta quando um arquivo que foi criado ou modificado dentro de 30 minutos é executado em um contêiner. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
A memória geralmente é marcada como executável para permitir que códigos mal-intencionados sejam executados quando um aplicativo está sendo explorado. Alerta quando um programa define permissões de memória de pilha ou pilha como executável. Isso pode causar falsos positivos para determinados servidores de aplicativos. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Shells interativos são ocorrências raras na infraestrutura de produção moderna. Alerta quando um shell interativo é iniciado com argumentos comumente usados para shells reversos. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Burlar o registro em log de comandos é uma prática comum de invasores, mas também pode indicar que um usuário legítimo está executando ações não autorizadas ou tentando burlar a política. Alerta quando uma alteração no log do histórico de comandos do usuário é detectada, indicando que um usuário está tentando evitar o log de comandos. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Detecta alguns tipos de backdoors do kernel. O carregamento de um novo programa BPF (Berkeley Packet Filter) pode indicar que um invasor está carregando um rootkit baseado em BPF para obter persistência e evitar a detecção. Alerta quando um processo carrega um novo programa BPF privilegiado, se o processo que já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Os invasores geralmente carregam módulos de kernel maliciosos (rootkits) para evitar a detecção e manter a persistência em um nó comprometido. Alerta quando um módulo do kernel é carregado, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Os invasores podem criar ou renomear binários mal-intencionados para incluir um espaço no final do nome na tentativa de se fazer passar por um programa ou serviço de sistema legítimo. Alerta quando um programa é executado com um espaço após o nome do programa. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
As explorações de elevação de privilégio do kernel geralmente permitem que um usuário sem privilégios obtenha privilégios de raiz sem passar pelos portões padrão das alterações de privilégio. Alerta quando um programa tenta elevar privilégios por meios incomuns. Isso pode emitir alertas falsos positivos em nós com cargas de trabalho significativas. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
As funções de kernel internas não podem ser acessadas por programas regulares e, se chamadas, são um forte indicador de que houve execução de uma exploração de kernel e de que o invasor tem controle total do nó. Alerta quando uma função do kernel retorna inesperadamente ao espaço do usuário. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP e SMAP são proteções no nível do processador que aumentam a dificuldade de êxito nas explorações de kernel; a desabilitação dessas restrições é uma etapa inicial comum nas explorações de kernel. Alerta quando um programa adultera a configuração SMEP/SMAP do kernel. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Alerta quando um programa usa funções de kernel comumente usadas em explorações de escape de contêiner, o que indica que um invasor está escalando os privilégios de acesso a contêiner para acesso a nó. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Os contêineres privilegiados têm acesso direto aos recursos do host, o que aumenta o impacto do seu comprometimento. Alerta quando um contêiner privilegiado é iniciado, se o contêiner não for uma imagem privilegiada conhecida, como kube-proxy. Isso pode emitir alertas indesejados para contêineres privilegiados legítimos. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Muitos escapes de contêiner coagem o host a executar um binário no contêiner, o que dá ao invasor controle total sobre o nó afetado. Alerta quando um arquivo criado por contêiner é executado de fora de um contêiner. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
A modificação de certos atributos do AppArmor só pode ocorrer no kernel, o que indica que o AppArmor foi desativado por uma exploração de kernel ou rootkit. Alerta quando o estado do AppArmor é alterado da configuração do AppArmor detectada quando o sensor é iniciado. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Os invasores podem tentar desabilitar a imposição de perfis AppArmor como parte do esquema para evitar a detecção. Alerta quando um comando para modificar um perfil AppArmor é executado, se ele não foi executado por um usuário em uma sessão SSH. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Se não for executada por uma fonte confiável (por exemplo, um gerenciador de pacotes ou uma ferramenta de gerenciamento de configuração), a modificação dos arquivos de inicialização pode indicar que há um invasor modificando o kernel ou quais são suas opções para obter acesso persistente a um host. Alerta quando são feitas alterações nos arquivos no /boot , indicando a instalação de um novo kernel ou configuração de inicialização. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
A exclusão de log não executada por uma ferramenta de gerenciamento de logs pode indicar que um invasor está tentando remover indicadores de comprometimento. Alertas sobre exclusão de arquivos de log do sistema. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
Os arquivos recém-criados de fontes diferentes de programas de atualização do sistema podem ser backdoors, explorações de kernel ou parte de uma cadeia de exploração. Alerta quando um arquivo que foi criado ou modificado dentro de 30 minutos é executado, excluindo arquivos criados por programas de atualização do sistema. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
A modificação do armazenamento de certificados raiz pode indicar a instalação de uma autoridade de certificação não autorizada, o que permitiria a interceptação do tráfego de rede ou o desvio da verificação da assinatura de código. Alerta quando um armazenamento de certificados da autoridade de certificação do sistema é alterado. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
A configuração de bits setuid/setgid pode ser usada como um método persistente de elevação de privilégio em um nó. Alerta quando o bit setuid ou setgid é definido em um arquivo com a família chmod de chamadas do sistema. |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Os invasores geralmente criam arquivos ocultos para obscurecer conteúdo e ferramentas úteis em um host comprometido. Alerta quando um arquivo oculto é criado por um processo associado a um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Os invasores podem modificar utilitários do sistema para executar conteúdo mal-intencionado sempre que esses utilitários forem executados. Alerta quando um utilitário de sistema comum é modificado por um processo não autorizado. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Um invasor ou usuário não autorizado pode usar ou instalar esses programas para pesquisar redes conectadas em busca de nós adicionais para comprometer. Alerta quando ferramentas comuns do programa de varredura de rede são executadas. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Os invasores podem iniciar um novo serviço de rede para fornecer acesso fácil a um host após o comprometimento. Alerta quando um programa inicia um novo serviço de rede, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Um invasor ou usuário não autorizado pode executar comandos de detecção de rede para capturar informações de entrada, PII (informações de identificação pessoal) ou outras informações confidenciais. Alerta quando é executado um programa que permite a captura de rede. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
O uso de ferramentas de transferência de arquivos pode indicar que um invasor está tentando mover conjuntos de ferramentas para hosts adicionais ou exfiltrar dados para um sistema remoto. Alerta quando um programa associado à cópia remota de arquivos é executado, se o programa já fizer parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Os canais de Comando e Controle e os mineradores de criptomoedas geralmente criam conexões de rede de saída em portas incomuns. Alerta quando um programa inicia uma nova conexão em uma porta incomum, se o programa já fizer parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Depois de obter acesso a um sistema, um invasor poderá criar um arquivo compactado de arquivos a fim de reduzir o tamanho dos dados para exfiltração. Alerta quando um programa de compactação de dados é executado, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
O uso de técnicas de injeção de processo geralmente indica que um usuário está depurando um programa, mas também pode indicar que um invasor está lendo segredos ou injetando código em outros processos. Alerta quando um programa usa mecanismos de ptrace (depuração) para interagir com outro processo. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Os invasores geralmente usam programas de enumeração de conta para determinar seu nível de acesso e ver se outros usuários estão conectados ao nó no momento. Alerta quando um programa associado à enumeração de conta é executado, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
A exploração de sistemas de arquivos é um comportamento pós-exploração comum de invasores que procuram informações de entrada e dados de interesse. Alerta quando um programa associado à enumeração de arquivos e diretórios é executado, se o programa já fizer parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Os invasores podem interrogar a rede local e encaminhar informações para identificar hosts e redes adjacentes antes de fazer uma movimentação lateral. Alerta quando um programa associado à enumeração de configuração de rede é executado, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Os invasores geralmente listam programas em execução para identificar a finalidade de um nó e descobrir se existem ferramentas de segurança ou monitoramento. Alerta quando um programa associado à enumeração de processos é executado, se o programa já fizer parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Os invasores geralmente executam comandos de enumeração do sistema para determinar versões e recursos do kernel e da distribuição do Linux, geralmente para identificar se o nó apresenta vulnerabilidades específicas. Alerta quando um programa associado à enumeração de informações do sistema é executado, se o programa já faz parte de um incidente em andamento. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
A modificação de tarefas agendadas é um método comum para estabelecer persistência em um nó comprometido. Alerta quando os comandos crontab , at ou batch são usados para modificar configurações de tarefas agendadas. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Alterações nas unidades systemd podem resultar no relaxamento ou na desabilitação dos controles de segurança, ou na instalação de um serviço mal-intencionado. Alerta quando o comando systemctl é usado para modificar unidades systemd. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
O escalonamento explícito para o usuário raiz diminui a capacidade de correlacionar a atividade privilegiada com um usuário específico. Alerta quando o comando su é executado. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Alerta quando o comando sudo é executado. |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
A exclusão do arquivo de histórico é incomum, geralmente executada por invasores que ocultam atividades ou por usuários legítimos que pretendem enganar os controles de auditoria. Alerta quando os arquivos de histórico da linha de comando são excluídos. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Um invasor pode adicionar um novo usuário a um host para fornecer um método confiável de acesso. Alerta se uma nova entidade de usuário for adicionada ao arquivo de gerenciamento de conta local /etc/passwd , se a entidade não for adicionada por um programa de atualização do sistema. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Os invasores podem modificar diretamente arquivos relacionados à identidade para adicionar um novo usuário ao sistema. Alerta quando um arquivo relacionado a senhas de usuário é modificado por um programa não relacionado à atualização de informações de usuário existentes. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
A adição de uma nova chave pública SSH é um método comum para obter acesso persistente a um host comprometido. Alerta quando uma tentativa de gravar no arquivo de authorized_keys SSH de um usuário é observada, se o programa já faz parte de um incidente em andamento. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
A adição de um novo usuário é uma etapa comum usada pelos invasores para estabelecer persistência em um nó comprometido. Alerta quando um programa de gerenciamento de identidades é executado por um programa diferente de um gerenciador de pacotes. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
A exclusão do arquivo de histórico é incomum, geralmente executada por invasores que ocultam atividades ou por usuários legítimos que pretendem enganar os controles de auditoria. Alerta quando os arquivos de histórico da linha de comando são excluídos. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Os arquivos de perfil e configuração do usuário são frequentemente modificados como método de persistência para executar um programa sempre que um usuário faz logon. Alerta quando .bash_profile e bashrc (e seus arquivos relacionados) são modificados por um programa que não seja uma ferramenta de atualização do sistema. |
- instanceId |
Eventos de monitoramento de antivírus
Observação
O objeto JSON response
nesses logs de auditoria sempre tem um campo result
que inclui uma linha do resultado do exame original. Cada resultado da varredura é representado normalmente por vários registros de log de auditoria, um para cada linha da saída da varredura original. Para obter detalhes do que pode aparecer nesse arquivo, consulte a seguinte documentação de terceiros.
O evento clamAVScanService-dataplane
a seguir é registrado em log no nível do workspace.
Serviço | Ação | Descrição | Parâmetros da solicitação |
---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
O monitoramento antivírus faz um exame. Um log será gerado para cada linha da saída do exame original. | - instanceId |
Eventos de log preteridos
O Databricks preteriu os eventos de diagnóstico databrickssql
a seguir:
createAlertDestination
(agoracreateNotificationDestination
)deleteAlertDestination
(agoradeleteNotificationDestination
)updateAlertDestination
(agoraupdateNotificationDestination
)muteAlert
unmuteAlert
Logs de ponto de extremidade SQL
Se você criar SQL Warehouses usando a API de ponto de extremidade DO SQL preterida (o nome anterior dos armazéns SQL), o nome do evento de auditoria correspondente incluirá a palavra Endpoint
em vez de Warehouse
. Além do nome, esses eventos são idênticos aos eventos do SQL Warehouse. Para exibir descrições e solicitar parâmetros desses eventos, consulte seus eventos de warehouse correspondentes em eventos SQL do Databricks.
Os eventos do ponto de extremidade SQL são:
changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig