诊断日志参考

注意

此功能需要高级计划

本文提供了审核日志服务和事件的综合参考。 这些服务的可用性取决于你如何访问日志:

  • Azure Monitor 的诊断设置服务不会记录所有这些服务。 Azure 的诊断设置中不可用的服务会进行相应的标记。

注意

Azure Databricks 保留审核日志的副本最多 1 年,以便进行安全和欺诈分析。

诊断日志服务

默认情况下,诊断日志中记录以下服务及其事件。

注意

工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure 诊断日志不包括帐户级别事件。

工作区级服务

服务名称 说明
accounts 与帐户、用户、组和 IP 访问列表相关的事件。
clusters 与群集相关的事件。
clusterPolicies 与群集策略相关的事件。
dashboards 与 AI/BI 仪表板使用相关的事件。
databrickssql DATABRICKS SQL 使用方面的事件。
dbfs DBFS 相关的事件。
deltaPipelines 增量实时表管道相关的事件。
featureStore Databricks 特征存储相关的事件。
filesystem 与 Files API 相关的事件。
gitCredentials Databricks Git 文件夹的 Git 凭据相关的事件。 另请参阅 repos
globalInitScripts 与全局初始化脚本相关的事件。
与帐户和工作区组相关的事件。
iamRole 与 IAM 角色权限相关的事件。
引入 与文件上传相关的事件。
instancePools 相关的事件。
jobs 与作业相关的事件。
mlflowAcledArtifact 与 ACL ML 流项目相关的事件。
mlflowExperiment 与 ML 流试验相关的事件。
modelRegistry 与模型注册表相关的事件。
笔记本 与笔记本相关的事件。
remoteHistoryService 与添加删除 GitHub 凭据相关的事件。
repos Databricks Git 文件夹相关的事件。 另请参阅 gitCredentials
机密 机密相关的事件。
sqlPermissions 与旧版 Hive 元存储表访问控制相关的事件。
ssh SSH 访问相关的事件。
webTerminal Web 终端功能相关的事件。
工作区 与工作区相关的事件。

帐户级服务

帐户级审核日志可用于以下服务:

服务名称 说明
accountBillableUsage 与帐户控制台中的计费使用量访问相关的操作。
accountsAccessControl 与帐户级访问控制规则相关的操作。
accountsManager 与网络连接配置相关的操作。
unityCatalog 在 Unity 目录中执行的操作。 这包括增量共享事件,请参阅增量共享事件

诊断日志示例架构

在 Azure Databricks 中,诊断日志以 JSON 格式输出事件。 在 Azure Databricks 中,审核日志以 JSON 格式输出事件。 serviceNameactionName 属性标识事件。 命名约定遵循 Databricks REST API

以下 JSON 示例是用户创建作业时记录的事件的示例:

{
    "TenantId": "<your-tenant-id>",
    "SourceSystem": "|Databricks|",
    "TimeGenerated": "2019-05-01T00:18:58Z",
    "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
    "OperationName": "Microsoft.Databricks/jobs/create",
    "OperationVersion": "1.0.0",
    "Category": "jobs",
    "Identity": {
        "email": "mail@contoso.com",
        "subjectName": null
    },
    "SourceIPAddress": "131.0.0.0",
    "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
    "ServiceName": "jobs",
    "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
    "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
    "ActionName": "create",
    "RequestId": "ServiceMain-206b2474f0620002",
    "Response": {
        "statusCode": 200,
        "result": "{\"job_id\":1}"
    },
    "RequestParams": {
        "name": "Untitled",
        "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
    },
    "Type": "DatabricksJobs"
}

诊断日志架构注意事项

  • 如果操作花费很长时间,则会单独记录请求和响应,但请求和响应对具有相同的 requestId
  • 自动化操作(例如,由于自动缩放而重设群集大小,或由于调度而启动作业)由用户 System-User 执行。
  • 字段 requestParams 可能会截断。 如果其 JSON 表示形式的大小超过 100 KB,则值会截断,字符串 ... truncated 会追加到截断的条目。 在截断的映射仍大于 100 KB 的极少数情况下,会改为存在具有空值的单个 TRUNCATED 键。

帐户事件

以下是在工作区级别记录的accounts事件。

服务 操作 说明 请求参数
accounts activateUser 在停用用户后将其重新激活。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts aadBrowserLogin 用户使用 Microsoft Entra ID 浏览器工作流登录到 Databricks。 - user
accounts aadTokenLogin 用户通过 Microsoft Entra ID 令牌登录到 Databricks。 - user
accounts accountInHouseOAuthClientAuthentication OAuth 客户端已经过身份验证。 - endpoint
accounts activateUser 管理员将用户从 Azure 门户添加到 Databricks 帐户。 - warehouse
- targetUserName
- targetUserId
accounts add 用户已添加到 Azure Databricks 工作区。 - targetUserName
- endpoint
- targetUserId
accounts addPrincipalToGroup 用户已添加到工作区级别组。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts changeDatabricksSqlAcl 更改用户的 Databricks SQL 权限。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDatabricksWorkspaceAcl 对工作区的权限已发生更改。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeDbTokenAcl 更改令牌的权限时。 - shardName
- targetUserId
- resourceId
- aclPermissionSet
accounts changeServicePrincipalAcls 更改服务主体的权限时。 - shardName
- targetServicePrincipal
- resourceId
- aclPermissionSet
accounts createGroup 已创建工作区级别组。 - endpoint
- targetGroupId
- targetGroupName
accounts createIpAccessList IP 访问列表已添加到工作区。 - ipAccessListId
- userId
accounts deactivateUser 在工作区中停用用户。 请参阅停用工作区中的用户 - targetUserName
- endpoint
- targetUserId
accounts delete 已从 Azure Databricks 工作区中删除用户。 - targetUserId
- targetUserName
- endpoint
accounts deleteIpAccessList 已从工作区中删除 IP 访问列表。 - ipAccessListId
- userId
accounts garbageCollectDbToken 用户对过期的令牌运行垃圾回收命令。 - tokenExpirationTime
- tokenClientId
- userId
- tokenCreationTime
- tokenFirstAccessed
accounts generateDbToken 当某人从“用户设置”生成令牌时,或者当服务生成令牌时。 - tokenExpirationTime
- tokenCreatedBy
- tokenHash
- userId
accounts IpAccessDenied 用户尝试通过被拒绝的 IP 连接到服务。 - path
- userName
accounts ipAccessListQuotaExceeded - userId
accounts jwtLogin 用户使用 JWT 登录到 Databricks。 - user
accounts login 用户登录到工作区。 - user
accounts logout 用户从工作区中注销。 - user
accounts oidcTokenAuthorization 通过通用 OIDC/OAuth 令牌授权 API 调用时。 - user
accounts passwordVerifyAuthentication - user
accounts reachMaxQuotaDbToken 当前未过期的令牌数超过令牌配额时
accounts removeAdmin 用户被撤销工作区管理员权限。 - targetUserName
- endpoint
- targetUserId
accounts removeGroup 已从工作区中移除组。 - targetGroupId
- targetGroupName
- endpoint
accounts removePrincipalFromGroup 已从组中移除用户。 - targetGroupId
- endpoint
- targetUserId
- targetGroupName
- targetUserName
accounts revokeDbToken 从工作区中删除用户的令牌。 可以因从 Databricks 帐户中删除用户而触发。 - userId
accounts setAdmin 用户被授予帐户管理员权限。 - endpoint
- targetUserName
- targetUserId
accounts tokenLogin 用户使用令牌登录到 Databricks。 - tokenId
- user
accounts updateIpAccessList IP 访问列表已发生更改。 - ipAccessListId
- userId
accounts updateUser 对用户的帐户进行了更改。 - warehouse
- targetUserName
- targetUserId
accounts validateEmail 当用户在创建帐户后验证其电子邮件时。 - endpoint
- targetUserName
- targetUserId

群集事件

以下是在工作区级别记录的cluster事件。

服务 操作 说明 请求参数
clusters changeClusterAcl 用户更改群集 ACL。 - shardName
- aclPermissionSet
- targetUserId
- resourceId
clusters create 用户创建群集。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters createResult 群集创建结果。 与 create 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters delete 群集已终止。 - cluster_id
clusters deleteResult 群集终止结果。 与 delete 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters edit 用户对群集设置进行更改。 这会记录除群集大小更改或自动缩放行为更改之外的所有更改。 - cluster_log_conf
- num_workers
- enable_elastic_disk
- driver_node_type_id
- start_cluster
- docker_image
- ssh_public_keys
- aws_attributes
- acl_path_prefix
- node_type_id
- instance_pool_id
- spark_env_vars
- init_scripts
- spark_version
- cluster_source
- autotermination_minutes
- cluster_name
- autoscale
- custom_tags
- cluster_creator
- enable_local_disk_encryption
- idempotency_token
- spark_conf
- organization_id
- no_driver_daemon
- user_id
- virtual_cluster_size
- apply_policy_default_values
- data_security_mode
clusters permanentDelete 已从用户界面中删除群集。 - cluster_id
clusters resize 重设群集大小。 这会记录在正在运行的群集上,其中唯一更改的属性是群集大小或自动缩放行为。 - cluster_id
- num_workers
- autoscale
clusters resizeResult 重设群集大小的结果。 与 resize 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters restart 用户重启正在运行的群集。 - cluster_id
clusters restartResult 群集重启的结果。 与 restart 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId
clusters start 用户启动群集。 - init_scripts_safe_mode
- cluster_id
clusters startResult 群集启动结果。 与 start 结合使用。 - clusterName
- clusterState
- clusterId
- clusterWorkers
- clusterOwnerUserId

群集库事件

以下是在工作区级别记录的clusterLibraries事件。

服务 操作 说明 请求参数
clusterLibraries installLibraries 用户在群集上安装库。 - cluster_id
- libraries
clusterLibraries uninstallLibraries 用户卸载群集上的库。 - cluster_id
- libraries
clusterLibraries installLibraryOnAllClusters 工作区管理员计划在所有群集上安装库。 - user
- library
clusterLibraries uninstallLibraryOnAllClusters 工作区管理员从列表中移除要安装在所有群集上的库。 - user
- library

仪表板事件

以下是在工作区级别记录的dashboards事件。

服务 操作 说明 请求参数
dashboards getDashboard 用户通过以下方式访问仪表板的草稿版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 只有工作区用户可以访问仪表板的草稿版本。 - dashboard_id
dashboards getPublishedDashboard 用户通过以下方式访问仪表板的已发布版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 包括工作区用户和帐户用户的活动。 不包括使用计划电子邮件接收仪表板的 PDF 快照。 - dashboard_id
- credentials_embedded
dashboards executeQuery 用户从仪表板执行查询。 - dashboard_id
- statement_id
dashboards cancelQuery 用户从仪表板取消查询。 - dashboard_id
- statement_id
dashboards getQueryResult 用户从仪表板接收查询结果。 - dashboard_id
- statement_id
dashboards sendDashboardSnapshot 仪表板的 PDF 快照是通过计划的电子邮件发送的。

请求参数值取决于接收者的类型。 对于 Databricks 通知目标,仅显示 destination_id。 对于 Databricks 用户,将显示订阅者的用户 ID 和电子邮件地址。 如果接收者是电子邮件地址,则仅显示电子邮件地址。
- dashboard_id
- subscriber_destination_id
- subscriber_user_details: {

user_id,

email_address }
dashboards getDashboardDetails 用户访问草稿仪表板的详细信息,例如数据集和小组件。 当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时,始终会发出 getDashboardDetails - dashboard_id
dashboards createDashboard 用户使用 UI 或 API 创建新的 AI/BI 仪表板。 - dashboard_id
dashboards updateDashboard 用户使用 UI 或 API 更新 AI/BI 仪表板。 - dashboard_id
dashboards cloneDashboard 用户克隆 AI/BI 仪表板。 - source_dashboard_id
- new_dashboard_id
dashboards publishDashboard 用户使用 UI 或 API 在提供或不提供嵌入凭据的情况下发布 AI/BI 仪表板。 - dashboard_id
- credentials_embedded
- warehouse_id
dashboards unpublishDashboard 用户使用 UI 或 API 取消发布已发布的 AI/BI 仪表板。 - dashboard_id
dashboards trashDashboard 用户使用 UI 或 API 移动 AI/BI 仪表板。 - dashboard_id
dashboards restoreDashboard 用户从回收站还原 AI/BI 仪表板。 - dashboard_id
dashboards migrateDashboard 用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。 - source_dashboard_id
- new_dashboard_id
dashboards createSchedule 用户创建电子邮件订阅计划。 - dashboard_id
- schedule_id
dashboards updateSchedule 用户更新 AI/BI 仪表板的计划。 - dashboard_id
- schedule_id
dashboards deleteSchedule 用户删除 AI/BI 仪表板的计划。 - dashboard_id
- schedule_id
dashboards createSubscription 用户为电子邮件目标订阅 AI/BI 仪表板计划。 - dashboard_id
- schedule_id
- schedule
dashboards deleteSubscription 用户从 AI/BI 仪表板计划中删除电子邮件目标。 - dashboard_id
- schedule_id

Databricks SQL 事件

以下是在工作区级别记录的databrickssql事件。

注意

如果使用旧版 SQL 终结点 API 管理 SQL 仓库,SQL 仓库审核事件将具有不同的操作名称。 请参阅 SQL 终结点日志

服务 操作 说明 请求参数
databrickssql addDashboardWidget 小组件已添加到仪表板。 - dashboardId
- widgetId
databrickssql cancelQueryExecution 从 SQL 编辑器 UI 取消查询执行。 这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。 - queryExecutionId
databrickssql changeWarehouseAcls 仓库管理员更新对 SQL 仓库的权限。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
databrickssql changePermissions 用户更新对对象的权限。 - granteeAndPermission
- objectId
- objectType
databrickssql cloneDashboard 用户克隆仪表板。 - dashboardId
databrickssql commandSubmit 仅在详细的审核日志中。 在命令提交到 SQL 仓库时生成,无论请求的来源如何。 - warehouseId
- commandId
- validation
- commandText
databrickssql commandFinish 仅在详细的审核日志中。 在 SQL 仓库上的命令完成或取消时生成,无论取消请求的来源如何。 - warehouseId
- commandId
databrickssql createAlert 用户创建警报。 - alertId
databrickssql createNotificationDestination 工作区管理员创建通知目标。 - notificationDestinationId
- notificationDestinationType
databrickssql createDashboard 用户创建仪表板。 - dashboardId
databrickssql createDataPreviewDashboard 用户创建数据预览仪表板。 - dashboardId
databrickssql createWarehouse 具有群集创建权利的用户创建 SQL 仓库。 - auto_resume
- auto_stop_mins
- channel
- cluster_size
- conf_pairs
- custom_cluster_confs
- enable_databricks_compute
- enable_photon
- enable_serverless_compute
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- size
- spot_instance_policy
- tags
- test_overrides
databrickssql createQuery 用户新建查询。 - queryId
databrickssql createQueryDraft 用户创建查询草稿。 - queryId
databrickssql createQuerySnippet 用户创建查询片段。 - querySnippetId
databrickssql createSampleDashboard 用户创建示例仪表板。 - sampleDashboardId
databrickssql createVisualization 用户使用 SQL 编辑器生成可视化效果。 排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。 - queryId
- visualizationId
databrickssql deleteAlert 用户通过警报界面或 API 删除警报。 从文件浏览器 UI 中排除删除项。 - alertId
databrickssql deleteNotificationDestination 工作区管理员删除通知目标。 - notificationDestinationId
databrickssql deleteDashboard 用户通过仪表板界面或 API 删除仪表板。 通过文件浏览器 UI 排除删除项。 - dashboardId
databrickssql deleteDashboardWidget 用户删除仪表板小组件。 - widgetId
databrickssql deleteWarehouse 仓库管理员删除 SQL 仓库。 - id
databrickssql deleteQuery 用户通过查询界面或 API 删除查询。 通过文件浏览器 UI 排除删除项。 - queryId
databrickssql deleteQueryDraft 用户删除查询草稿。 - queryId
databrickssql deleteQuerySnippet 用户删除查询片段。 - querySnippetId
databrickssql deleteVisualization 用户从 SQL 编辑器的查询中删除可视化效果。 - visualizationId
databrickssql downloadQueryResult 用户从 SQL 编辑器下载查询结果。 从仪表板中排除下载项。 - fileType
- queryId
- queryResultId
- credentialsEmbedded
- credentialsEmbeddedId
databrickssql editWarehouse 仓库管理员编辑 SQL 仓库。 - auto_stop_mins
- channel
- cluster_size
- confs
- enable_photon
- enable_serverless_compute
- id
- instance_profile_arn
- max_num_clusters
- min_num_clusters
- name
- spot_instance_policy
- tags
databrickssql executeAdhocQuery 由下列项之一生成:

- 用户在 SQL 编辑器中运行查询草稿
- 从可视化效果聚合执行查询
- 用户加载仪表板并执行基础查询
- dataSourceId
databrickssql executeSavedQuery 用户运行保存的查询。 - queryId
databrickssql executeWidgetQuery 由执行查询以刷新仪表板面板的任何事件生成。 适用事件的一些示例包括:

- 刷新单个面板
- 刷新整个仪表板
- 计划的仪表板执行
- 参数或筛选器对超过 64,000 行的内容运行的更改
- widgetId
databrickssql favoriteDashboard 用户收藏仪表板。 - dashboardId
databrickssql favoriteQuery 用户收藏查询。 - queryId
databrickssql forkQuery 用户克隆查询。 - originalQueryId
- queryId
databrickssql listQueries 用户打开查询列表页或调用列表查询 API。 - filter_by
- include_metrics
- max_results
- page_token
databrickssql moveAlertToTrash 用户将警报移动到回收站。 - alertId
databrickssql moveDashboardToTrash 用户将仪表板移动到回收站。 - dashboardId
databrickssql moveQueryToTrash 用户将查询移动到回收站。 - queryId
databrickssql restoreAlert 用户从回收站还原警报。 - alertId
databrickssql restoreDashboard 用户从回收站还原仪表板。 - dashboardId
databrickssql restoreQuery 用户从回收站还原查询。 - queryId
databrickssql setWarehouseConfig 仓库管理员设置 SQL 仓库的配置。 - data_access_config
- enable_serverless_compute
- instance_profile_arn
- security_policy
- serverless_agreement
- sql_configuration_parameters
- try_create_databricks_managed_starter_warehouse
databrickssql snapshotDashboard 用户请求仪表板的快照。 包括计划的仪表板快照。 - dashboardId
databrickssql startWarehouse SQL 仓库已启动。 - id
databrickssql stopWarehouse 仓库管理员停止 SQL 仓库。 排除自动停止的仓库。 - id
databrickssql transferObjectOwnership 工作区管理员通过转移对象所有权 API,将仪表板、查询或警报的所有权转让给活动用户。 此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。 - newOwner
- objectId
- objectType
databrickssql unfavoriteDashboard 用户从其收藏夹中移除仪表板。 - dashboardId
databrickssql unfavoriteQuery 用户从其收藏夹中移除查询。 - queryId
databrickssql updateAlert 用户对警报进行更新。 如果使用 API 转移警报所有权,则会填充 ownerUserName - alertId
- queryId
- ownerUserName
databrickssql updateNotificationDestination 工作区管理员对通知目标进行更新。 - notificationDestinationId
databrickssql updateDashboardWidget 用户对仪表板小组件进行更新。 排除对轴刻度的更改。 适用更新的示例包括:

- 对小组件大小或放置的更改
- 添加或删除小组件参数
- widgetId
databrickssql updateDashboard 用户对仪表板属性进行更新。 排除对计划和订阅的更改。 适用更新的示例包括:

- 仪表板名称更改
- 对 SQL 仓库的更改
- 对“运行方式”设置的更改
- dashboardId
databrickssql updateOrganizationSetting 工作区管理员对工作区的 SQL 设置进行更新。 - has_configured_data_access
- has_explored_sql_warehouses
- has_granted_permissions
databrickssql updateQuery 用户对查询进行更新。 如果使用 API 转移查询所有权,则会填充 ownerUserName - queryId
- ownerUserName
databrickssql updateQueryDraft 用户对查询草稿进行更新。 - queryId
databrickssql updateQuerySnippet 用户对查询片段进行更新。 - querySnippetId
databrickssql updateVisualization 用户从 SQL 编辑器或仪表板更新可视化效果。 - visualizationId

数据监视事件

以下dataMonitoring事件在工作区级别记录。

服务 操作 说明 请求参数
dataMonitoring CreateMonitor 用户创建监视器。 - data_classification_config
- full_table_name_arg
- assets_dir
- schedule
- output_schema_name
- notifications
- inference_log
dataMonitoring UpdateMonitor 用户对监视器进行更新。 - data_classification_config
- table_name
- full_table_name_arg
- drift_metrics_table_name
- dashboard_id
- custom_metrics
- assets_dir
- monitor_version
- profile_metrics_table_name
- baseline_table_name
- status
- output_schema_name
- inference_log
- slicing_exprs
dataMonitoring DeleteMonitor 用户删除监视器。 - full_table_name_arg
dataMonitoring RunRefresh 按计划刷新或手动刷新监视器。 - full_table_name_arg

DBFS 事件

下表包括在工作区级别记录的dbfs事件。

有两种类型的 DBFS 事件:API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 编写时,才会记录以下 DBFS 审核事件。

服务 操作 说明 请求参数
dbfs addBlock 用户将数据块追加到流。 这与 dbfs/create 结合使用,以将数据流式传输到 DBFS。 - handle
- data_length
dbfs create 用户打开流以将文件写入 DBF。 - path
- bufferSize
- overwrite
dbfs delete 用户从 DBF 中删除文件或目录。 - recursive
- path
dbfs mkdirs 用户创建新的 DBFS 目录。 - path
dbfs move 用户在 DBF 中将文件从一个位置移到另一个位置。 - dst
- source_path
- src
- destination_path
dbfs put 用户通过使用多部分表单 POST 将文件上传到 DBF。 - path
- overwrite

DBFS 操作事件

以下 DBFS 审核事件发生在计算平面上。

服务 操作 说明 请求参数
dbfs mount 用户在特定 DBFS 位置创建装入点。 - mountPoint
- owner
dbfs unmount 用户移除特定 DBFS 位置的装入点。 - mountPoint

增量管道事件

服务 操作 说明 请求参数
deltaPipelines changePipelineAcls 用户更改对管道的权限。 - shardId
- targetUserId
- resourceId
- aclPermissionSet
deltaPipelines create 用户创建增量实时表管道。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- dry_run
- id
- libraries
- name
- storage
- target
- channel
- edition
- photon
deltaPipelines delete 用户删除增量实时表管道。 - pipeline_id
deltaPipelines edit 用户编辑增量实时表管道。 - allow_duplicate_names
- clusters
- configuration
- continuous
- development
- expected_last_modified
- id
- libraries
- name
- pipeline_id
- storage
- target
- channel
- edition
- photon
deltaPipelines startUpdate 用户重启增量实时表管道。 - cause
- full_refresh
- job_task
- pipeline_id
deltaPipelines stop 用户停止增量实时表管道。 - pipeline_id

特征存储事件

以下featureStore事件在工作区级别记录。

服务 操作 说明 请求参数
featureStore addConsumer 使用者已添加到特征存储。 - features
- job_run
- notebook
featureStore addDataSources 数据源已添加到特征表。 - feature_table
- paths, tables
featureStore addProducer 生成者已添加到特征表。 - feature_table
- job_run
- notebook
featureStore changeFeatureTableAcl 特征表中的权限已发生更改。 - aclPermissionSet
- resourceId
- shardName
- targetUserId
featureStore createFeatureTable 已创建特征表。 - description
- name
- partition_keys
- primary_keys
- timestamp_keys
featureStore createFeatures 已在特征表中创建特征。 - feature_table
- features
featureStore deleteFeatureTable 已删除特征表。 - name
featureStore deleteTags 已从特征表中删除标记。 - feature_table_id
- keys
featureStore getConsumers 用户进行调用以获取特征表中的使用者。 - feature_table
featureStore getFeatureTable 用户进行调用以获取特征表。 - name
featureStore getFeatureTablesById 用户进行调用以获取特征表 ID。 - ids
featureStore getFeatures 用户进行调用以获取特征。 - feature_table
- max_results
featureStore getModelServingMetadata 用户进行调用以获取模型服务元数据。 - feature_table_features
featureStore getOnlineStore 用户进行调用以获取在线商店详细信息。 - cloud
- feature_table
- online_table
- store_type
featureStore getTags 用户进行调用以获取特征表的标记。 - feature_table_id
featureStore publishFeatureTable 已发布特征表。 - cloud
- feature_table
- host
- online_table
- port
- read_secret_prefix
- store_type
- write_secret_prefix
featureStore searchFeatureTables 用户搜索特征表。 - max_results
- page_token
- text
featureStore setTags 已将标记添加到特征表。 - feature_table_id
- tags
featureStore updateFeatureTable 已更新特征表。 - description
- name

Files API 事件

以下filesystem事件在工作区级别记录。

服务 操作 说明 请求参数
filesystem filesGet 用户下载文件。 - path
- transferredSize
filesystem filesPut 用户上传文件。 - path
- receivedSize
filesystem filesDelete 用户删除文件。 - path
filesystem filesHead 用户获取有关文件的信息。 - path

Git 凭据事件

以下gitCredentials事件在工作区级别记录。

服务 操作 说明 请求参数
gitCredentials getGitCredential 用户获取 git 凭据。 - id
gitCredentials listGitCredentials 用户列出所有 git 凭据
gitCredentials deleteGitCredential 用户删除 git 凭据。 - id
gitCredentials updateGitCredential 用户更新 git 凭据。 - id
- git_provider
- git_username
gitCredentials createGitCredential 用户创建 git 凭据。 - git_provider
- git_username

全局初始化脚本事件

以下globalInitScripts事件在工作区级别记录。

服务 操作 说明 请求参数
globalInitScripts create 工作区管理员创建全局初始化脚本。 - name
- position
- script-SHA256
- enabled
globalInitScripts update 工作区管理员更新全局初始化脚本。 - script_id
- name
- position
- script-SHA256
- enabled
globalInitScripts delete 工作区管理员删除全局初始化脚本。 - script_id

IAM 角色事件

以下iamRole事件在工作区级别记录。

服务 操作 说明 请求参数
iamRole changeIamRoleAcl 工作区管理员更改 IAM 角色的权限。 - targetUserId
- shardName
- resourceId
- aclPermissionSet

引入事件

以下ingestion事件在工作区级别记录。

服务 操作 说明 请求参数
ingestion proxyFileUpload 用户将文件上传到其 Azure Databricks 工作区。 - x-databricks-content-length-0
- x-databricks-total-files

实例池事件

以下instancePools事件在工作区级别记录。

服务 操作 说明 请求参数
instancePools changeInstancePoolAcl 用户更改实例池的权限。 - shardName
- resourceId
- targetUserId
- aclPermissionSet
instancePools create 用户创建实例池。 - enable_elastic_disk
- preloaded_spark_versions
- idle_instance_autotermination_minutes
- instance_pool_name
- node_type_id
- custom_tags
- max_capacity
- min_idle_instances
- aws_attributes
instancePools delete 用户删除实例池。 - instance_pool_id
instancePools edit 用户编辑实例池。 - instance_pool_name
- idle_instance_autotermination_minutes
- min_idle_instances
- preloaded_spark_versions
- max_capacity
- enable_elastic_disk
- node_type_id
- instance_pool_id
- aws_attributes

作业事件

以下jobs事件在工作区级别记录。

服务 操作 说明 请求参数
jobs cancel 作业运行已取消。 - run_id
jobs cancelAllRuns 用户取消作业的所有运行。 - job_id
jobs changeJobAcl 用户更新作业的权限。 - shardName
- aclPermissionSet
- resourceId
- targetUserId
jobs create 用户创建作业。 - spark_jar_task
- email_notifications
- notebook_task
- spark_submit_task
- timeout_seconds
- libraries
- name
- spark_python_task
- job_type
- new_cluster
- existing_cluster_id
- max_retries
- schedule
- run_as
jobs delete 用户删除作业。 - job_id
jobs deleteRun 用户删除作业运行。 - run_id
jobs getRunOutput 用户进行 API 调用以获取运行输出。 - run_id
- is_from_webapp
jobs repairRun 用户修复作业运行。 - run_id
- latest_repair_id
- rerun_tasks
jobs reset 作业已重置。 - job_id
- new_settings
jobs resetJobAcl 用户请求更改作业的权限。 - grants
- job_id
jobs runCommand 在启用详细的审核日志时可用。 在作业运行执行笔记本中的命令后发出。 命令对应于笔记本中的单元格。 - jobId
- runId
- notebookId
- executionTime
- status
- commandId
- commandText
jobs runFailed 作业运行失败。 - jobClusterType
- jobTriggerType
- jobId
- jobTaskType
- runId
- jobTerminalState
- idInJob
- orgId
- runCreatorUserName
jobs runNow 用户触发按需作业运行。 - notebook_params
- job_id
- jar_params
- workflow_context
jobs runStart 在验证和创建群集后启动作业运行时发出。 此事件发出的请求参数取决于作业中的任务类型。 除了列出的参数外,它们还可以包括:

- dashboardId(针对 SQL 仪表板任务)
- filePath(针对 SQL 文件任务)
- notebookPath(针对笔记本任务)
- mainClassName(针对 Spark JAR 任务)
- pythonFile(针对 Spark JAR 任务)
- projectDirectory(针对 dbt 任务)
- commands(针对 dbt 任务)
- packageName(针对 Python wheel 任务)
- entryPoint(针对 Python wheel 任务)
- pipelineId(针对管道任务)
- queryIds(针对 SQL 查询任务)
- alertId(针对 SQL 警报任务)
- taskDependencies
- multitaskParentRunId
- orgId
- idInJob
- jobId
- jobTerminalState
- taskKey
- jobTriggerType
- jobTaskType
- runId
- runCreatorUserName
jobs runSucceeded 作业运行成功。 - idInJob
- jobId
- jobTriggerType
- orgId
- runId
- jobClusterType
- jobTaskType
- jobTerminalState
- runCreatorUserName
jobs runTriggered 作业计划根据其计划或触发器自动触发。 - jobId
- jobTriggeredType
- runId
jobs sendRunWebhook 在作业开始、完成或失败时发送 Webhook。 - orgId
- jobId
- jobWebhookId
- jobWebhookEvent
- runId
jobs setTaskValue 用户为任务设置值。 - run_id
- key
jobs submitRun 用户通过 API 提交一次性运行。 - shell_command_task
- run_name
- spark_python_task
- existing_cluster_id
- notebook_task
- timeout_seconds
- libraries
- new_cluster
- spark_jar_task
jobs update 用户编辑作业的设置。 - job_id
- fields_to_remove
- new_settings
- is_from_dlt

具有 ACL 事件的 MLflow 项目

以下mlflowAcledArtifact事件在工作区级别记录。

服务 操作 说明 请求参数
mlflowAcledArtifact readArtifact 用户进行调用以读取项目。 - artifactLocation
- experimentId
- runId
mlflowAcledArtifact writeArtifact 用户进行调用以写入到项目。 - artifactLocation
- experimentId
- runId

MLflow 试验事件

以下mlflowExperiment事件在工作区级别记录。

服务 操作 说明 请求参数
mlflowExperiment createMlflowExperiment 用户创建 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment deleteMlflowExperiment 用户删除 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment moveMlflowExperiment 用户移动 MLflow 试验。 - newPath
- experimentId
- oldPath
mlflowExperiment restoreMlflowExperiment 用户还原 MLflow 试验。 - experimentId
- path
- experimentName
mlflowExperiment renameMlflowExperiment 用户重命名 MLflow 试验。 - oldName
- newName
- experimentId
- parentPath

MLflow 模型注册表事件

以下mlflowModelRegistry事件在工作区级别记录。

服务 操作 说明 请求参数
modelRegistry approveTransitionRequest 用户批准模型版本阶段转换请求。 - name
- version
- stage
- archive_existing_versions
modelRegistry changeRegisteredModelAcl 用户更新已注册模型的权限。 - registeredModelId
- userId
modelRegistry createComment 用户发布对模型版本的注释。 - name
- version
modelRegistry createModelVersion 用户创建模型版本。 - name
- source
- run_id
- tags
- run_link
modelRegistry createRegisteredModel 用户创建新的已注册模型 - name
- tags
modelRegistry createRegistryWebhook 用户为模型注册表事件创建 Webhook。 - orgId
- registeredModelId
- events
- description
- status
- creatorId
- httpUrlSpec
modelRegistry createTransitionRequest 用户创建模型版本阶段转换请求。 - name
- version
- stage
modelRegistry deleteComment 用户删除对模型版本的注释。 - id
modelRegistry deleteModelVersion 用户删除模型版本。 - name
- version
modelRegistry deleteModelVersionTag 用户删除模型版本标记。 - name
- version
- key
modelRegistry deleteRegisteredModel 用户删除已注册模型 - name
modelRegistry deleteRegisteredModelTag 用户删除已注册模型的标记。 - name
- key
modelRegistry deleteRegistryWebhook 用户删除模型注册表 Webhook。 - orgId
- webhookId
modelRegistry deleteTransitionRequest 用户取消模型版本阶段转换请求。 - name
- version
- stage
- creator
modelRegistry finishCreateModelVersionAsync 已完成异步模型复制。 - name
- version
modelRegistry generateBatchInferenceNotebook 批处理推理笔记本是自动生成的。 - userId
- orgId
- modelName
- inputTableOpt
- outputTablePathOpt
- stageOrVersion
- modelVersionEntityOpt
- notebookPath
modelRegistry generateDltInferenceNotebook 增量实时表管道的推理笔记本是自动生成的。 - userId
- orgId
- modelName
- inputTable
- outputTable
- stageOrVersion
- notebookPath
modelRegistry getModelVersionDownloadUri 用户获取用于下载模型版本的 URI。 - name
- version
modelRegistry getModelVersionSignedDownloadUri 用户获取用于下载已签名模型版本的 URI。 - name
- version
- path
modelRegistry listModelArtifacts 用户进行调用以列出模型的项目。 - name
- version
- path
- page_token
modelRegistry listRegistryWebhooks 用户进行调用以列出模型中的所有注册表 Webhook。 - orgId
- registeredModelId
modelRegistry rejectTransitionRequest 用户拒绝模型版本阶段转换请求。 - name
- version
- stage
modelRegistry renameRegisteredModel 用户重命名已注册模型 - name
- new_name
modelRegistry setEmailSubscriptionStatus 用户更新已注册模型的电子邮件订阅状态
modelRegistry setModelVersionTag 用户设置模型版本标记。 - name
- version
- key
- value
modelRegistry setRegisteredModelTag 用户设置模型版本标记。 - name
- key
- value
modelRegistry setUserLevelEmailSubscriptionStatus 用户更新整个注册表的电子邮件通知状态。 - orgId
- userId
- subscriptionStatus
modelRegistry testRegistryWebhook 用户测试模型注册表 Webhook。 - orgId
- webhookId
modelRegistry transitionModelVersionStage 用户获取模型版本的所有开放阶段转换请求的列表。 - name
- version
- stage
- archive_existing_versions
modelRegistry triggerRegistryWebhook 模型注册表 Webhook 由事件触发。 - orgId
- registeredModelId
- events
- status
modelRegistry updateComment 用户发布对模型版本的注释的编辑。 - id
modelRegistry updateRegistryWebhook 用户更新模型注册表 Webhook。 - orgId
- webhookId

Notebook 事件

以下notebook事件在工作区级别记录。

服务 操作 说明 请求参数
notebook attachNotebook 笔记本已附加到群集。 - path
- clusterId
- notebookId
notebook cloneNotebook 用户克隆笔记本。 - notebookId
- path
- clonedNotebookId
- destinationPath
notebook createNotebook 已创建笔记本。 - notebookId
- path
notebook deleteFolder 已删除笔记本文件夹。 - path
notebook deleteNotebook 已删除笔记本。 - notebookId
- notebookName
- path
notebook detachNotebook 笔记本与群集分离。 - notebookId
- clusterId
- path
notebook downloadLargeResults 用户下载的查询结果太大,无法显示在笔记本中。 - notebookId
- notebookFullPath
notebook downloadPreviewResults 用户下载查询结果。 - notebookId
- notebookFullPath
notebook importNotebook 用户导入笔记本。 - path
notebook moveFolder 笔记本文件夹已从一个位置移动到另一个位置。 - oldPath
- newPath
- folderId
notebook moveNotebook 笔记本已从一个位置移动到另一个位置。 - newPath
- oldPath
- notebookId
notebook renameNotebook 笔记本已重命名。 - newName
- oldName
- parentPath
- notebookId
notebook restoreFolder 删除的文件夹已还原。 - path
notebook restoreNotebook 删除的笔记本已还原。 - path
- notebookId
- notebookName
notebook runCommand 在启用详细的审核日志时可用。 在 Databricks 在笔记本中运行命令后发出。 命令对应于笔记本中的单元格。

executionTime 以秒为度量单位。
- notebookId
- executionTime
- status
- commandId
- commandText
- commandLanguage
notebook takeNotebookSnapshot 在运行作业服务或 mlflow 时拍摄笔记本快照。 - path

远程历史记录服务事件

以下remoteHistoryService事件在工作区级别记录。

服务 操作 说明 请求参数
remoteHistoryService addUserGitHubCredentials 用户添加 Github 凭据
remoteHistoryService deleteUserGitHubCredentials 用户删除 Github 凭据
remoteHistoryService updateUserGitHubCredentials 用户更新 Github 凭据

Git 文件夹事件

以下repos事件在工作区级别记录。

服务 操作名称 说明 请求参数
repos checkoutBranch 用户签出存储库上的分支。 - id
- branch
repos commitAndPush 用户提交并推送到存储库。 - id
- message
- files
- checkSensitiveToken
repos createRepo 用户在工作区中创建存储库 - url
- provider
- path
repos deleteRepo 用户删除存储库。 - id
repos discard 用户放弃提交到存储库。 - id
- file_paths
repos getRepo 用户进行调用以获取有关单个存储库的信息。 - id
repos listRepos 用户进行调用以获取他们对其拥有管理权限的所有存储库。 - path_prefix
- next_page_token
repos pull 用户从存储库拉取最新提交。 - id
repos updateRepo 用户将存储库更新到不同的分支或标记,或更新到同一分支上的最新提交。 - id
- branch
- tag
- git_url
- git_provider

机密事件

以下secrets事件在工作区级别记录。

服务 操作名称 说明 请求参数
secrets createScope 用户创建机密范围。 - scope
- initial_manage_principal
- scope_backend_type
secrets deleteAcl 用户删除机密范围的 ACL。 - scope
- principal
secrets deleteScope 用户删除机密范围。 - scope
secrets deleteSecret 用户从范围中删除机密。 - key
- scope
secrets getAcl 用户获取机密范围的 ACL。 - scope
- principal
secrets getSecret 用户从范围中获取机密。 - key
- scope
secrets listAcls 用户进行调用以列出机密范围的 ACL。 - scope
secrets listScopes 用户进行调用以列出机密范围
secrets listSecrets 用户进行调用以列出范围中的机密。 - scope
secrets putAcl 用户更改机密范围的 ACL。 - scope
- principal
- permission
secrets putSecret 用户在范围中添加或编辑机密。 - string_value
- key
- scope

SQL 表访问事件

注意

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储

以下sqlPermissions事件在工作区级别记录。

服务 操作名称 说明 请求参数
sqlPermissions changeSecurableOwner 工作区管理员或对象的所有者转让对象所有权。 - securable
- principal
sqlPermissions createSecurable 用户创建安全对象。 - securable
sqlPermissions denyPermission 对象所有者拒绝对安全对象的权限。 - permission
sqlPermissions grantPermission 对象所有者授予对安全对象的权限。 - permission
sqlPermissions removeAllPermissions 用户删除安全对象。 - securable
sqlPermissions renameSecurable 用户重命名安全对象。 - before
- after
sqlPermissions requestPermissions 用户请求对安全对象的权限。 - requests
sqlPermissions revokePermission 对象所有者撤销对其安全对象的权限。 - permission
sqlPermissions showPermissions 用户查看安全对象权限。 - securable
- principal

SSH 事件

以下ssh事件在工作区级别记录。

服务 操作名称 说明 请求参数
ssh login 代理通过 SSH 登录到 Spark 驱动程序。 - containerId
- userName
- port
- publicKey
- instanceId
ssh logout 代理通过 SSH 从 Spark 驱动程序注销。 - userName
- containerId
- instanceId

Web 终端事件

以下webTerminal事件在工作区级别记录。

服务 操作名称 说明 请求参数
webTerminal startSession 用户启动 Web 终端会话。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI
webTerminal closeSession 用户关闭 Web 终端会话。 - socketGUID
- clusterId
- serverPort
- ProxyTargetURI

工作区事件

以下workspace事件在工作区级别记录。

服务 操作名称 说明 请求参数
workspace changeWorkspaceAcl 对工作区的权限已发生更改。 - shardName
- targetUserId
- aclPermissionSet
- resourceId
workspace deleteSetting 已从工作区中删除设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
workspace fileCreate 用户在工作区中创建文件。 - path
workspace fileDelete 用户删除工作区中的文件。 - path
workspace fileEditorOpenEvent 用户打开文件编辑器。 - notebookId
- path
workspace getRoleAssignment 用户获取工作区的用户角色。 - account_id
- workspace_id
workspace mintOAuthAuthorizationCode 在工作区级别创建内部 OAuth 授权代码时记录。 - client_id
workspace mintOAuthToken 已为工作区创建 OAuth 令牌。 - grant_type
- scope
- expires_in
- client_id
workspace moveWorkspaceNode 工作区管理员移动工作区节点。 - destinationPath
- path
workspace purgeWorkspaceNodes 工作区管理员清除工作区节点。 - treestoreId
workspace reattachHomeFolder 为重新添加到工作区的用户重新附加现有主文件夹。 - path
workspace renameWorkspaceNode 工作区管理员重命名工作区节点。 - path
- destinationPath
workspace unmarkHomeFolder 从工作区中移除用户时,会同时移除主文件夹特殊属性。 - path
workspace updateRoleAssignment 工作区管理员更新工作区用户的角色。 - account_id
- workspace_id
- principal_id
workspace updatePermissionAssignment 工作区管理员将主体添加到工作区。 - principal_id
- permissions
workspace setSetting 工作区管理员配置工作区设置。 - settingKeyTypeName
- settingKeyName
- settingTypeName
- settingName
- settingValueForAudit
workspace workspaceConfEdit 工作区管理员对设置进行更新,例如启用详细的审核日志。 - workspaceConfKeys
- workspaceConfValues
workspace workspaceExport 用户从工作区中导出笔记本。 - workspaceExportDirectDownload
- workspaceExportFormat
- notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth 客户端在工作区服务中进行身份验证。 - user

增量共享提供者事件

以下审核日志事件记录在提供者帐户中。 接收者执行的操作以 deltaSharing 前缀开头。 其中每个日志还包括 request_params.metastore_id、管理共享数据的元存储,以及发起该活动的用户的 ID userIdentity.email

服务 操作 说明 请求参数
unityCatalog deltaSharingListShares 数据接收者请求共享列表。 - options:此请求提供的分页选项。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetShare 数据接收者请求有关共享的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListSchemas 数据接收者请求共享架构的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- options:此请求提供的分页选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllTables 数据接收者请求所有共享表的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListTables 数据接收者请求共享表的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- options:此请求提供的分页选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableMetadata 数据接收者请求有关表元数据的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- predicateHints:查询中包含的谓词。
- limitHints:返回的最大行数。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableVersion 数据接收者请求有关表版本的详细信息。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTable 当数据接收者查询共享表时记录。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- predicateHints:查询中包含的谓词。
- limitHints:返回的最大行数。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTableChanges 当数据接收者查询表的更改数据时记录。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- schema:架构的名称。
- name:表的名称。
- cdf_options:更改数据馈送选项。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTable 当数据接收者获取对其查询的响应后记录。 response.result 字段包含有关接收者查询的更多信息(请参阅“审核和监视数据共享”) - recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTableChanges 当数据接收者获取对其查询的响应后记录。 response.result 字段包含有关接收者查询的更多信息。 * recipient_name:指示执行操作的接收者。
* is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListNotebookFiles 数据接收者请求共享笔记本文件的列表。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryNotebookFile 数据接收者查询共享笔记本文件。 - file_name:笔记本文件的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctions 数据接收者请求父架构中函数的列表。 - share:共享的名称。
- schema:函数的父架构名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllFunctions 数据接收者请求所有共享函数的列表。 - share:共享的名称。
- schema:函数的父架构名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctionVersions 数据接收者请求函数版本列表。 - share:共享的名称。
- schema:函数的父架构名称。
- function:函数的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListVolumes 数据接收者请求架构中共享卷的列表。 - share:共享的名称。
- schema:卷的父架构。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllVolumes 数据接收者请求所有共享卷。 - share:共享的名称。
- recipient_name:指示执行操作的接收者。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog updateMetastore 提供者更新其元存储。 - delta_sharing_scope:值可以为 INTERNALINTERNAL_AND_EXTERNAL
- delta_sharing_recipient_token_lifetime_in_seconds:如果存在,则表示接收者令牌生存期已更新。
unityCatalog createRecipient 提供者创建数据接收者。 - name:接收者的名称。
- comment:接收者的注释。
- ip_access_list.allowed_ip_addresses: 接收者 IP 地址允许列表。
unityCatalog deleteRecipient 提供者删除数据接收者。 - name:接收者的名称。
unityCatalog getRecipient 提供者请求有关数据接收者的详细信息。 - name:接收者的名称。
unityCatalog listRecipients 提供者请求其所有数据接收者的列表。
unityCatalog rotateRecipientToken 提供者轮换接收者的令牌。 - name:接收者的名称。
- comment:轮换命令中给定的注释。
unityCatalog updateRecipient 提供者更新数据接收者的属性。 - name:接收者的名称。
- updates:在共享中添加或删除的收件人属性的 JSON 表示形式。
unityCatalog createShare 提供者更新数据接收者的属性。 - name:共享的名称。
- comment:共享的注释。
unityCatalog deleteShare 提供者更新数据接收者的属性。 - name:共享的名称。
unityCatalog getShare 提供者请求有关共享的详细信息。 - name:共享的名称。
- include_shared_objects:请求中是否包含共享的表名。
unityCatalog updateShare 提供者添加或移除共享中的数据资产。 - name:共享的名称。
- updates:已在共享中添加或删除的数据资产的 JSON 表示形式。 每一项都包含 action(添加或移除)、name(表的实际名称)、shared_as(资产共享时的名称,如果与实际名称不同),以及 partition_specification(如果提供了分区规范)。
unityCatalog listShares 提供者请求其共享的列表。
unityCatalog getSharePermissions 提供者请求有关共享权限的详细信息。 - name:共享的名称。
unityCatalog updateSharePermissions 提供者更新共享的权限。 - name:共享的名称。
- changes 更新的权限的 JSON 表示形式。 每项更改都包含 principal(向其授予或撤消权限的用户或组)、add(已授予的权限列表)、remove(已撤消的权限列表)。
unityCatalog getRecipientSharePermissions 提供者请求有关接收者共享权限的详细信息。 - name:共享的名称。
unityCatalog getActivationUrlInfo 提供者请求有关其激活链接上活动的详细信息。 - recipient_name:打开激活 URL 的接收者的名称。
- is_ip_access_denied:如果未配置 IP 访问列表,则值为 None。 否则,如果拒绝了请求,则值为 true;如果未拒绝请求,则值为 falsesourceIPaddress 是收件人 IP 地址。
unityCatalog generateTemporaryVolumeCredential 将为接收者生成临时凭据以访问共享卷。 - share_name:收件人通过其提出请求的共享名称。
- share_id:共享的 ID。
- share_owner:共享的所有者。
- recipient_name:请求凭据的收件人的名称。
- recipient_id:收件人的 ID。
- volume_full_name:卷的完整 3 级名称。
- volume_id:卷的 ID。
- volume_storage_location:卷根的云路径。
- operationREAD_VOLUMEWRITE_VOLUME。 对于卷共享,仅支持 READ_VOLUME
- credential_id:凭据的 ID。
- credential_type:凭据的类型。 值始终为 StorageCredential
- workspace_id:当请求针对共享卷时,值始终为 0
unityCatalog generateTemporaryTableCredential 将为接收者生成临时凭据以访问共享表。 - share_name:收件人通过其提出请求的共享名称。
- share_id:共享的 ID。
- share_owner:共享的所有者。
- recipient_name:请求凭据的收件人的名称。
- recipient_id:收件人的 ID。
- table_full_name:卷的完整 3 级名称。
- table_id:表的 ID。
- table_url:表根的云路径。
- operationREADREAD_WRITE
- credential_id:凭据的 ID。
- credential_type:凭据的类型。 值始终为 StorageCredential
- workspace_id:当请求针对共享表时,值始终为 0

增量共享接收者事件

以下事件记录在数据接收者的帐户中。 这些事件记录接收者对共享数据和 AI 资产的访问,以及与提供者管理关联的事件。 其中每个事件还包括以下请求参数:

  • recipient_name:数据提供程序系统中接收者的名称。
  • metastore_id:数据提供程序系统中元存储的名称。
  • sourceIPAddress:发起请求的 IP 地址。
服务 操作 说明 请求参数
unityCatalog deltaSharingProxyGetTableVersion 数据接收者请求有关共享表版本的详细信息。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
unityCatalog deltaSharingProxyGetTableMetadata 数据接收者请求有关表共享表的元数据的详细信息。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
unityCatalog deltaSharingProxyQueryTable 数据接收者查询共享表。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
- limitHints:返回的最大行数。
- predicateHints:查询中包含的谓词。
- version:表版本(如果启用了更改数据馈送)。
unityCatalog deltaSharingProxyQueryTableChanges 数据接收者查询表的更改数据。 - share:共享的名称。
- schema:表的父架构的名称。
- name:表的名称。
- cdf_options:更改数据馈送选项。
unityCatalog createProvider 数据接收者创建提供者对象。 - name:提供者的名称。
- comment:提供者的注释。
unityCatalog updateProvider 数据接收者更新提供者对象。 - name:提供者的名称。
- updates:在共享中添加或删除的提供者属性的 JSON 表示形式。 每项都包含 action(添加或移除),并且可以包含 name(新的提供者名称)、owner(新的所有者)和 comment
unityCatalog deleteProvider 数据接收者删除提供者对象。 - name:提供者的名称。
unityCatalog getProvider 数据接收者请求有关提供者对象的详细信息。 - name:提供者的名称。
unityCatalog listProviders 数据接收者请求提供者列表。
unityCatalog activateProvider 数据接收者激活提供者对象。 - name:提供者的名称。
unityCatalog listProviderShares 数据接收者请求提供者共享的列表。 - name:提供者的名称。
unityCatalog generateTemporaryVolumeCredential 将为接收者生成临时凭据以访问共享卷。 - share_name:收件人通过其提出请求的共享名称。
- volume_full_name:卷的完整 3 级名称。
- volume_id:卷的 ID。
- operationREAD_VOLUMEWRITE_VOLUME。 对于卷共享,仅支持 READ_VOLUME
- workspace_id:接收用户请求的工作区的 ID。
unityCatalog generateTemporaryTableCredential 将为接收者生成临时凭据以访问共享表。 - share_name:收件人通过其提出请求的共享名称。
- table_full_name:卷的完整 3 级名称。
- table_id:表的 ID。
- operationREADREAD_WRITE
- workspace_id:接收用户请求的工作区的 ID。

弃用的日志事件

Databricks 已弃用以下 databrickssql 诊断事件:

  • createAlertDestination(现在为 createNotificationDestination
  • deleteAlertDestination(现在为 deleteNotificationDestination
  • updateAlertDestination(现在为 updateNotificationDestination
  • muteAlert
  • unmuteAlert

SQL 终结点日志

如果使用弃用的 SQL 终结点 API(SQL 仓库之前的名称)创建 SQL 仓库,则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。 除了名称,这些事件与 SQL 仓库事件均相同。 若要查看这些事件的说明和请求参数,请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig