诊断日志参考

2025-06-02

备注

此功能需要高级计划。

本文提供了审核日志服务和事件的综合参考。这些服务的可用性取决于你如何访问日志：

审核日志系统表记录本文中列出的所有事件和服务。
Azure Monitor 的诊断设置服务不会记录所有这些服务。 Azure 的诊断设置中不可用的服务会进行相应的标记。

备注

Azure Databricks 保留审核日志的副本最多 1 年，以便进行安全和欺诈分析。

诊断日志服务

默认情况下，诊断日志中记录以下服务及其事件。

备注

工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure 诊断日志不包括帐户级别事件。

工作区级服务

服务名称	说明
帐户	与帐户、用户、组和 IP 访问列表相关的事件。
aibiGenie	与 AI/BI Genie 空间相关的事件。
警报	与警报相关的事件。
应用	与 Databricks Apps 相关的事件。
集群	与群集相关的事件。
clusterPolicies	与群集策略相关的事件。
仪表盘	与 AI/BI 仪表板使用相关的事件。
databrickssql	DATABRICKS SQL 使用方面的事件。
dataMonitoring	与 Lakehouse Monitoring 相关的事件。
dbfs	与 DBFS 相关的事件。
deltaPipelines	与Lakeflow 声明式管道相关的事件。
功能商店	与 Databricks 特征存储相关的事件。
filesystem	与文件管理相关的事件，包括通过文件 API 或卷界面与文件进行交互。
精灵	与支持人员访问工作区相关的事件。与 AI/BI Genie 空间无关。
gitCredentials	与 Databricks Git 文件夹的 Git 凭据相关的事件。另请参阅 `repos`。
globalInitScripts	与全局初始化脚本相关的事件。
组	与帐户和工作区群组相关的事件。
iamRole	与 IAM 角色权限相关的事件。
摄入	与文件上传相关的事件。
instancePools	与池相关的事件。
工作	与工作相关的事件。
谱系追踪	与数据世系相关的事件。
marketplaceConsumer	与 Databricks 市场中的使用者操作相关的事件。
marketplaceProvider	与 Databricks 市场中的提供者操作相关的事件。
mlflowAcledArtifact	与具有 ACL 的 MLflow 项目相关的事件。
mlflowExperiment	与 ML 流试验相关的事件。
modelRegistry	与模型注册表相关的事件。
笔记本	与笔记本相关的事件。
partnerConnect	与合作伙伴连接相关的事件。
predictiveOptimization	与预测优化相关的事件。
RemoteHistoryService	与添加和移除 GitHub 凭据相关的事件。
存储库	与 Databricks Git 文件夹相关的事件。另请参阅 `gitCredentials`。
秘密	与机密相关的事件。
serverlessRealTimeInference	与模型服务相关的事件。
sqlPermissions	与旧版 Hive 元存储表访问控制相关的事件。
ssh	与 SSH 访问相关的事件。
uniformIcebergRestCatalog	与冰山 REST 目录 API 的使用相关的事件。
vectorSearch	与矢量搜索相关的事件。
webhookNotifications	与通知目标相关的事件。
webTerminal	与 Web 终端功能相关的事件。
工作区	与工作区相关的事件。

帐户级服务

帐户级审核日志可用于以下服务：

服务名称	说明
账户访问控制	与帐户访问控制 API 相关的作业。
账户可计费使用量	与帐户控制台中的计费使用量访问相关的操作。
accountsManager	与网络连接配置相关的操作。
budgetPolicyCentral	与管理无服务器预算策略相关的操作。
洁净室	与清洁室相关的操作。
unityCatalog	在 Unity 目录中执行的操作。这还包括 Delta Sharing 事件，请参阅 Delta Sharing 事件。

其他安全监视服务

对于使用合规性安全配置文件（HIPAA 等合规性标准需要这样的文件）或增强型安全监视的工作区，还有其他服务和关联操作。

这些是工作区级服务，只有当使用合规性安全配置文件或增强的安全监视时，才会在日志中生成：

服务名称	说明
capsule8-alerts-dataplane	与文件完整性监视相关的操作。
clamAVScanService-dataplane	与防病毒监视相关的操作。

诊断日志示例架构

在 Azure Databricks 中，诊断日志以 JSON 格式输出事件。在 Azure Databricks 中，审核日志以 JSON 格式输出事件。 serviceName 和 actionName 属性标识事件。命名约定遵循 Databricks REST API。

以下 JSON 示例是用户创建作业时记录的事件的示例：

{
  "TenantId": "<your-tenant-id>",
  "SourceSystem": "|Databricks|",
  "TimeGenerated": "2019-05-01T00:18:58Z",
  "ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
  "OperationName": "Microsoft.Databricks/jobs/create",
  "OperationVersion": "1.0.0",
  "Category": "jobs",
  "Identity": {
    "email": "mail@contoso.com",
    "subjectName": null
  },
  "SourceIPAddress": "131.0.0.0",
  "LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
  "ServiceName": "jobs",
  "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
  "SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
  "ActionName": "create",
  "RequestId": "ServiceMain-206b2474f0620002",
  "Response": {
    "statusCode": 200,
    "result": "{\"job_id\":1}"
  },
  "RequestParams": {
    "name": "Untitled",
    "new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
  },
  "Type": "DatabricksJobs"
}

诊断日志架构注意事项

如果操作花费很长时间，则会单独记录请求和响应，但请求和响应对具有相同的 requestId。
自动化操作（例如，由于自动缩放而重设群集大小，或由于调度而启动作业）由用户 System-User 执行。
字段 requestParams 可能会被截断。如果其 JSON 表示形式的大小超过 100 KB，则值会截断，字符串 ... truncated 会追加到截断的条目。在截断的映射仍大于 100 KB 的极少数情况下，会改为存在具有空值的单个 TRUNCATED 键。

帐户事件

以下是在工作区级别记录的 accounts 事件。

服务	行动	说明	请求参数
`accounts`	`accountLoginCodeAuthentication`	对用户帐户登录代码进行身份验证。	`user`
`accounts`	`activateUser`	用户被停用后重新激活。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`aadBrowserLogin`	用户使用 Microsoft Entra ID 浏览器工作流登录到 Databricks。	`user`
`accounts`	`aadTokenLogin`	用户通过 Microsoft Entra ID 令牌登录到 Databricks。	`user`
`accounts`	`add`	用户已添加到 Azure Databricks 工作区。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`addPrincipalToGroup`	用户已添加到工作区级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`changeDatabricksSqlAcl`	更改用户的 Databricks SQL 权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDatabricksWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDbTokenAcl`	对访问令牌的权限已更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDbTokenState`	Databricks 访问令牌已禁用。	`tokenHash` `tokenState` `userId`
`accounts`	`changeServicePrincipalAcls`	当服务主体的权限被更改时。	`shardName` `targetServicePrincipal` `resourceId` `aclPermissionSet`
`accounts`	`createGroup`	已创建工作区级别组。	`endpoint` `targetUserId` `targetUserName`
`accounts`	`createIpAccessList`	将 IP 访问列表添加到工作区。	`ipAccessListId` `userId`
`accounts`	`deactivateUser`	已停用工作区中的用户。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`delete`	已从 Azure Databricks 工作区中删除用户。	`targetUserId` `targetUserName` `endpoint`
`accounts`	`deleteIpAccessList`	已从工作区中删除 IP 访问列表。	`ipAccessListId` `userId`
`accounts`	`garbageCollectDbToken`	用户对过期的令牌运行垃圾回收命令。	`tokenExpirationTime` `tokenClientId` `userId` `tokenCreationTime` `tokenFirstAccessed` `tokenHash`
`accounts`	`generateDbToken`	当某人从“用户设置”生成令牌时，或者当服务生成令牌时。	`tokenExpirationTime` `tokenCreatedBy` `tokenHash` `userId`
`accounts`	`IpAccessDenied`	用户尝试通过被拒绝的 IP 连接到服务。	`path` `user` `userId`
`accounts`	`ipAccessListQuotaExceeded`		`userId`
`accounts`	`jwtLogin`	用户使用 JWT 登录到 Databricks。	`user` `authenticationMethod`
`accounts`	`login`	用户登录到工作区。	`user` `authenticationMethod`
`accounts`	`logout`	用户注销工作区。	`user`
`accounts`	`oidcTokenAuthorization`	通过通用 OIDC/OAuth 令牌授权 API 调用时。	`user` `authenticationMethod`
`accounts`	`passwordVerifyAuthentication`		`user`
`accounts`	`reachMaxQuotaDbToken`	当当前未过期的令牌数超过令牌配额时。
`accounts`	`removeAdmin`	用户被撤销工作区管理员权限。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`removeGroup`	从工作区中删除组。	`targetGroupId` `targetGroupName` `endpoint`
`accounts`	`removePrincipalFromGroup`	已从组中移除用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`revokeDbToken`	从工作区中删除用户的令牌。可以因从 Databricks 帐户中删除用户而触发。	`userId` `tokenHash`
`accounts`	`setAdmin`	用户被授予帐户管理员权限。	`endpoint` `targetUserName` `targetUserId`
`accounts`	`tokenLogin`	用户使用令牌登录到 Databricks。	`tokenId` `user` `authenticationMethod`
`accounts`	`updateIpAccessList`	IP 访问列表已发生更改。	`ipAccessListId` `userId`
`accounts`	`updateUser`	对用户的帐户进行了更改。	`endpoint` `targetUserName` `targetUserId` `targetUserExternalId`
`accounts`	`validateEmail`	当用户在创建帐户后验证其电子邮件时。	`endpoint` `targetUserName` `targetUserId`
`accounts`	`workspaceLoginCodeAuthentication`	对用户的工作区范围的登录代码进行身份验证。	`user` `authenticationMethod`

AI/BI 数据面板事件

以下是在工作区级别记录的 dashboards 事件。

服务	行动	说明	请求参数
`dashboards`	`getDashboard`	用户通过以下方式访问仪表板的草稿版本：在 UI 中查看版本，或使用 API 请求仪表板定义。只有工作区用户可以访问仪表板的草稿版本。	`dashboard_id`
`dashboards`	`getPublishedDashboard`	用户通过以下方式访问仪表板的已发布版本：在 UI 中查看版本，或使用 API 请求仪表板定义。包括工作区用户和帐户用户的活动。不包括通过预定电子邮件接收仪表板的 PDF 快照。	`dashboard_id` `credentials_embedded`
`dashboards`	`executeQuery`	用户从仪表板执行查询。	`dashboard_id` `statement_id`
`dashboards`	`cancelQuery`	用户从仪表板取消查询。	`dashboard_id` `statement_id`
`dashboards`	`getQueryResult`	用户从仪表板接收查询结果。	`dashboard_id` `statement_id`
`dashboards`	`triggerDashboardSnapshot`	用户下载仪表板的 PDF 快照。	`dashboard_id`
`dashboards`	`sendDashboardSnapshot`	仪表板的 PDF 快照通过预定的电子邮件发送。请求参数值取决于接收者的类型。对于 Databricks 通知目标，仅显示 `destination_id`。对于 Databricks 用户，将显示订阅者的用户 ID 和电子邮件地址。如果接收者是电子邮件地址，则仅显示电子邮件地址。	`dashboard_id` `subscriber_destination_id` `subscriber_user_details: {` `user_id`, `email_address }`
`dashboards`	`getDashboardDetails`	用户访问草稿仪表板的详细信息，例如数据集和小组件。当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时，始终会发出 `getDashboardDetails`。	`dashboard_id`
`dashboards`	`createDashboard`	用户使用 UI 或 API 创建新的 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`updateDashboard`	用户使用 UI 或 API 更新 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`cloneDashboard`	用户克隆 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id`
`dashboards`	`publishDashboard`	用户使用 UI 或 API 发布具有或没有嵌入的凭据的 AI/BI 仪表板。	`dashboard_id` `credentials_embedded` `warehouse_id`
`dashboards`	`unpublishDashboard`	用户使用 UI 或 API 取消发布已发布的 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`trashDashboard`	用户使用仪表板 UI 或 Lakeview API 命令将仪表板移动到回收站。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区操作，请参阅工作区事件	`dashboard_id`
`dashboards`	`restoreDashboard`	用户使用仪表板 UI 或 Lakeview API 命令从回收站还原 AI/BI 仪表板。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区操作，请参阅工作区事件	`dashboard_id`
`dashboards`	`migrateDashboard`	用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id`
`dashboards`	`createSchedule`	用户创建电子邮件订阅计划。	`dashboard_id` `schedule_id`
`dashboards`	`updateSchedule`	用户更新 AI/BI 仪表板的时间表。	`dashboard_id` `schedule_id`
`dashboards`	`deleteSchedule`	用户删除 AI/BI 仪表板的计划。	`dashboard_id` `schedule_id`
`dashboards`	`createSubscription`	用户将电子邮件地址加入 AI/BI 仪表板日程中。	`dashboard_id` `schedule_id` `schedule`
`dashboards`	`deleteSubscription`	用户从 AI/BI 仪表板计划中删除电子邮件地址。	`dashboard_id` `schedule_id`

AI/BI Genie 事件

以下是在工作区级别记录的 aibiGenie 事件。

服务	行动	说明	请求参数
`aibiGenie`	`createSpace`	用户创建新的 Genie 空间。新空间的 `space_id` 记录在 `response` 列中。
`aibiGenie`	`getSpace`	用户访问 Genie 空间。	`space_id`
`aibiGenie`	`listSpaces`	用户列出所有可用的 Genie 空间。
`aibiGenie`	`updateSpace`	用户更新 Genie 空间的设置。可能的设置包括标题、说明、仓库、表和示例问题。	`space_id` `display_name` `description` `warehouse_id` `table_identifiers`
`aibiGenie`	`trashSpace`	将 Genie 空间移动到了回收站。	`space_id`
`aibiGenie`	`cloneSpace`	用户克隆了 Genie 空间。	`space_id`
`aibiGenie`	`genieGetSpace`	用户通过 API 访问 Genie 空间的详细信息。	`space_id`
`aibiGenie`	`createConversation`	用户在 Genie 空间中创建新的对话线程。	`space_id`
`aibiGenie`	`listConversations`	用户在 Genie 空间中打开对话列表。	`space_id`
`aibiGenie`	`genieStartConversationMessage`	用户使用 API 启动包含消息的对话线程。	`space_id` `conversation_id`
`aibiGenie`	`getConversation`	用户在 Genie 空间中打开对话线程。	`conversation_id` `space_id`
`aibiGenie`	`updateConversation`	用户更新对话线程的标题。	`conversation_id` `space_id`
`aibiGenie`	`deleteConversation`	用户在 Genie 空间中删除对话线程。	`conversation_id` `space_id`
`aibiGenie`	`createConversationMessage`	用户向 Genie 空间提交新消息。	`conversation_id` `space_id`
`aibiGenie`	`genieCreateConversationMessage`	用户使用 API 在聊天中创建新消息。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`getConversationMessage`	用户访问 Genie 空间中的消息。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`genieGetConversationMessage`	用户使用 API 检索聊天中的特定消息。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`deleteConversationMessage`	用户删除现有消息。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`genieGetMessageQueryResult`	Genie 使用 API 检索与聊天消息关联的查询结果。	`conversation_id` `space_id`、`message_id`
`aibiGenie`	`genieGetMessageAttachmentQueryResult`	用户使用 API 检索邮件附件的查询结果。	`conversation_id` `space_id` `attachment_id`
`aibiGenie`	`executeFullQueryResult`	用户使用 API 检索完整的查询结果（最大大小为约 1GB）。	`space_id` `conversation_id` `message_id`
`aibiGenie`	`genieExecuteMessageQuery`	Genie 执行生成的 SQL 以返回查询结果，包括使用 API 刷新数据操作。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`genieExecuteMessageAttachmentQuery`	Genie 使用 API 对邮件附件结果执行查询。	`conversation_id` `space_id` `message_id` `attachment_id`
`aibiGenie`	`getMessageQueryResult`	Genie 检索与对话消息关联的查询结果。	`conversation_id` `space_id`、`message_id`
`aibiGenie`	`createInstruction`	用户为 Genie 空间创建了说明。	`space_id` `instruction_type`
`aibiGenie`	`listInstructions`	用户导航到“说明”选项卡或“数据”选项卡。	`space_id`
`aibiGenie`	`updateInstruction`	用户更新了 Genie 空间的说明。	`space_id` `instruction_id`
`aibiGenie`	`deleteInstruction`	用户删除了一条针对 Genie 空间的指令。	`space_id` `instruction_id`
`aibiGenie`	`updateSampleQuestions`	用户更新空间的默认示例问题。	`space_id`
`aibiGenie`	`createCuratedQuestion`	用户创建示例问题或基准问题。	`space_id`
`aibiGenie`	`deleteCuratedQuestion`	用户删除示例问题或基准问题。	`space_id` `curated_question_id`
`aibiGenie`	`listCuratedQuestions`	用户访问空间中的示例问题或基准问题列表。每当用户打开新的聊天、查看基准测试或添加示例问题时，都会记录此信息。	`space_id`
`aibiGenie`	`updateCuratedQuestion`	用户更新示例问题或基准问题。	`space_id` `curated_question_id`
`aibiGenie`	`createEvaluationResult`	Genie 为评估过程中的特定问题生成评估结果。	`space_id` `eval_id`
`aibiGenie`	`getEvaluationResult`	用户访问评估运行中的特定问题的结果。	`space_id` `eval_id`
`aibiGenie`	`getEvaluationResultDetails`	用户访问评估运行中的特定问题的查询结果。	`space_id` `eval_id`
`aibiGenie`	`updateEvaluationResult`	用户更新其特定问题的评估结果。	`space_id` `eval_id`
`aibiGenie`	`createEvaluationRun`	用户创建新的评估运行。	`space_id`
`aibiGenie`	`listEvaluationResults`	用户访问评估运行的结果列表。	`space_id` `run_id`
`aibiGenie`	`listEvaluationRuns`	用户访问所有评估运行的列表。	`space_id`
`aibiGenie`	`createConversationMessageComment`	用户向对话消息添加反馈注释。	`conversation_id` `space_id` `message_id`
`aibiGenie`	`listConversationMessageComments`	用户访问来自空间的反馈评论的列表。	`space_id` `conversation_ids` `message_ids` `user_ids` `comment_types`
`aibiGenie`	`deleteConversationMessageComment`	用户删除添加到对话消息的反馈注释。	`conversation_id` `space_id` `message_id` `message_comment_id`

警报事件

重要

此功能在 Beta 版中。

以下 alerts 事件在工作区级别记录。

备注

此服务不记录旧警报事件。遗留的警报事件记录在 databrickssql 服务下。

服务	行动	说明	请求参数
`alerts`	`apiCreateAlert`	用户使用警报 V2 API 创建警报。	`alert.id`
`alerts`	`apiGetAlert`	用户使用警报 V2 API 获取警报。	`alert_id`
`alerts`	`apiTrashAlert`	用户使用警报 V2 API 删除警报。	`alert_id`
`alerts`	`apiUpdateAlert`	用户使用警报 V2 API 更新警报。	`alert.id`
`alerts`	`cloneAlert`	用户克隆现有警报。	`alert_id`
`alerts`	`createAlert`	用户创建新的警报。	`alert_id`
`alerts`	`getAlert`	用户使用 UI 获取有关警报的信息。	`alert_id`
`alerts`	`previewAlertEvaluate`	测试条件功能返回警报测试结果。	`execution_session_id`
`alerts`	`previewAlertExecute`	用户使用测试条件功能预览和测试其警报。	`warehouse_id`
`alerts`	`runNowAlert`	用户单击“ 立即运行 ”按钮以立即运行警报查询。	`alert_id`
`alerts`	`updateAlert`	用户更新警报的详细信息。	`alert.id`

群集事件

以下是在工作区级别记录的 cluster 事件。

服务	行动	说明	请求参数
`clusters`	`changeClusterAcl`	用户更改群集 ACL。	`shardName` `aclPermissionSet` `targetUserId` `resourceId`
`clusters`	`create`	用户创建群集。	`cluster_log_conf` `num_workers` `enable_elastic_disk` `driver_node_type_id` `start_cluster` `docker_image` `ssh_public_keys` `aws_attributes` `acl_path_prefix` `node_type_id` `instance_pool_id` `spark_env_vars` `init_scripts` `spark_version` `cluster_source` `autotermination_minutes` `cluster_name` `autoscale` `custom_tags` `cluster_creator` `enable_local_disk_encryption` `idempotency_token` `spark_conf` `organization_id` `no_driver_daemon` `user_id` `virtual_cluster_size` `apply_policy_default_values` `data_security_mode`
`clusters`	`createResult`	群集创建结果。与 `create` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`delete`	群集已被终止。	`cluster_id`
`clusters`	`deleteResult`	群集终止结果。与 `delete` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`edit`	用户对群集设置进行更改。这会记录除群集大小更改或自动缩放行为更改之外的所有更改。	`cluster_log_conf` `num_workers` `enable_elastic_disk` `driver_node_type_id` `start_cluster` `docker_image` `ssh_public_keys` `aws_attributes` `acl_path_prefix` `node_type_id` `instance_pool_id` `spark_env_vars` `init_scripts` `spark_version` `cluster_source` `autotermination_minutes` `cluster_name` `autoscale` `custom_tags` `cluster_creator` `enable_local_disk_encryption` `idempotency_token` `spark_conf` `organization_id` `no_driver_daemon` `user_id` `virtual_cluster_size` `apply_policy_default_values` `data_security_mode`
`clusters`	`permanentDelete`	已从用户界面中删除群集。	`cluster_id`
`clusters`	`resize`	重设群集大小。这会记录在正在运行的群集上，其中唯一更改的属性是群集大小或自动缩放行为。	`cluster_id` `num_workers` `autoscale`
`clusters`	`resizeResult`	重设群集大小的结果。与 `resize` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`restart`	用户重启正在运行的群集。	`cluster_id`
`clusters`	`restartResult`	群集重启的结果。与 `restart` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`start`	用户启动群集。	`init_scripts_safe_mode` `cluster_id`
`clusters`	`startResult`	群集启动结果。与 `start` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`

群集库事件

以下是在工作区级别记录的 clusterLibraries 事件。

服务	行动	说明	请求参数
`clusterLibraries`	`installLibraries`	用户在群集上安装库。	`cluster_id` `libraries`
`clusterLibraries`	`uninstallLibraries`	用户卸载群集上的库。	`cluster_id` `libraries`
`clusterLibraries`	`installLibraryOnAllClusters`	工作区管理员计划在所有群集上安装库。	`user` `library`
`clusterLibraries`	`uninstallLibraryOnAllClusters`	工作区管理员从列表中移除要安装在所有群集上的库。	`user` `library`

群集策略事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下是在工作区级别记录的 clusterPolicies 事件。

服务	行动	说明	请求参数
`clusterPolicies`	`create`	用户创建了群集策略。	`name`
`clusterPolicies`	`edit`	用户编辑了群集策略。	`policy_id` `name`
`clusterPolicies`	`delete`	用户删除了群集策略。	`policy_id`
`clusterPolicies`	`changeClusterPolicyAcl`	工作区管理员更改群集策略的权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`

Databricks SQL 事件

以下是在工作区级别记录的 databrickssql 事件。

备注

如果使用旧版 SQL 终结点 API 管理 SQL 仓库，SQL 仓库审核事件将具有不同的操作名称。请参阅 SQL 终结点日志。

服务	行动	说明	请求参数
`databrickssql`	`cancelQueryExecution`	在 SQL 编辑器 UI 中取消了查询执行。这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消。	`queryExecutionId`：仅在使用旧版 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。
`databrickssql`	`changeEndpointAcls`	仓库管理员更新对 SQL 仓库的权限。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`databrickssql`	`cloneFolderNode`	用户在工作区浏览器中克隆文件夹。	`dashboardId`
`databrickssql`	`commandFinish`	仅在详细的审核日志中。在 SQL 仓库上的命令完成或取消时生成，无论取消请求的来源如何。	`warehouseId` `commandId`
`databrickssql`	`commandSubmit`	仅在详细的审核日志中。在命令提交到 SQL 仓库时生成，无论请求的来源如何。	`warehouseId` `commandId` `validation` `commandText` `commandParameters`
`databrickssql`	`createAlert`	用户创建旧警报。	`alertId` `queryId`
`databrickssql`	`createQuery`	用户新建查询。	`queryId`
`databrickssql`	`getQuery`	用户在 SQL 编辑器页中打开查询，或调用 Databricks SQL 获取查询 API。仅当使用旧版 SQL 编辑器或 Databricks SQL REST API 时发出。	`queryId`
`databrickssql`	`createQueryDraft`	用户创建查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`createQuerySnippet`	用户创建查询片段。	`querySnippetId`
`databrickssql`	`createVisualization`	用户使用 SQL 编辑器生成可视化效果。排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。仅当使用旧版 SQL 编辑器时发出。	`queryId` `visualizationId`
`databrickssql`	`createWarehouse`	具有群集创建权利的用户创建 SQL 仓库。	`auto_resume` `auto_stop_mins` `channel` `warehouse_type` `cluster_size` `conf_pairs` `custom_cluster_confs` `enable_databricks_compute` `enable_photon` `enable_serverless_compute` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `size` `spot_instance_policy` `tags` `test_overrides`
`databrickssql`	`deleteAlert`	用户从旧警报界面或通过 API 删除旧警报。从文件浏览器 UI 中排除被删除的内容。	`alertId`
`databrickssql`	`deleteNotificationDestination`	工作区管理员删除通知目标。	`notificationDestinationId`
`databrickssql`	`deleteDashboard`	用户通过仪表板界面或 API 删除仪表板。通过文件浏览器 UI 中排除被删除的内容。	`dashboardId`
`databrickssql`	`deleteDashboardWidget`	用户删除仪表板小组件。	`widgetId`
`databrickssql`	`deleteWarehouse`	仓库管理员删除 SQL 仓库。	`id`
`databrickssql`	`deleteQuery`	用户通过查询界面或 API 删除查询。通过文件浏览器 UI 中排除被删除的内容。	`queryId`
`databrickssql`	`deleteQueryDraft`	用户删除查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`deleteQuerySnippet`	用户删除查询片段。	`querySnippetId`
`databrickssql`	`deleteVisualization`	用户从 SQL 编辑器的查询中删除可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`
`databrickssql`	`downloadQueryResult`	用户从 SQL 编辑器下载查询结果。从仪表板中排除下载项。	`fileType` `queryId` `queryResultId`：仅在使用旧版 SQL 编辑器时发出。 `credentialsEmbedded` `credentialsEmbeddedId`
`databrickssql`	`editWarehouse`	仓库管理员编辑 SQL 仓库。	`auto_stop_mins` `channel` `warehouse_type` `cluster_size` `confs` `enable_photon` `enable_serverless_compute` `id` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `spot_instance_policy` `tags`
`databrickssql`	`executeAdhocQuery`	由下列项之一生成：用户在 SQL 编辑器中运行查询草稿从可视化效果聚合执行查询用户加载仪表板并执行基础查询	`dataSourceId`：仅在使用旧版 SQL 编辑器时发出。等效于 SQL 仓库 ID。 `warehouse_id`：仅在使用新的 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。对应于新 SQL 编辑器中的当前查询文本，该文本可能与原始保存的查询等效。
`databrickssql`	`executeSavedQuery`	用户运行保存的查询。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`executeWidgetQuery`	由执行查询以刷新仪表板面板的任何事件生成。适用事件的一些示例包括：刷新单个面板刷新整个仪表板计划的仪表板执行参数或筛选器对超过 64,000 行的内容运行的更改	`widgetId`
`databrickssql`	`favoriteDashboard`	用户收藏仪表板。	`dashboardId`
`databrickssql`	`favoriteQuery`	用户收藏查询。	`queryId`
`databrickssql`	`forkQuery`	用户克隆查询。	`originalQueryId` `queryId`
`databrickssql`	`getAlert`	用户打开旧警报的详细信息页或调用旧版获取警报 API。	`id`：警报的 ID
`databrickssql`	`getHistoryQueriesByLookupKeys`	用户使用查找键获取一个或多个查询执行的详细信息。	`lookup_keys` `include_metrics`
`databrickssql`	`getHistoryQuery`	用户使用 UI 获取查询执行的详细信息。	`id` `queryId` `include_metrics` `include_plans` `include_json_plans`
`databrickssql`	`listHistoryQueries`	用户打开查询历史记录页或调用查询历史记录列表查询 API。	`filter_by` `include_metrics` `max_results` `page_token` `order_by`
`databrickssql`	`moveAlertToTrash`	用户将过时警报移至回收站。	`alertId`
`databrickssql`	`moveDashboardToTrash`	用户将仪表板移动到回收站。	`dashboardId`
`databrickssql`	`moveQueryToTrash`	用户将查询移动到回收站。	`queryId` `treestoreId`：仅当使用新的 SQL 编辑器且无法返回有效 `queryId` 时发出。
`databrickssql`	`restoreAlert`	用户将旧警报从回收站还原。	`alertId`
`databrickssql`	`restoreDashboard`	用户从回收站还原仪表板。	`dashboardId`
`databrickssql`	`restoreQuery`	用户从回收站还原查询。	`queryId`
`databrickssql`	`setWarehouseConfig`	工作区管理员更新其工作区的 SQL 仓库设置，包括配置参数和数据访问属性。	`data_access_config` `enable_serverless_compute` `instance_profile_arn` `security_policy` `serverless_agreement` `sql_configuration_parameters`
`databrickssql`	`snapshotDashboard`	用户请求仪表板的快照。包括预定的仪表板快照。	`dashboardId`
`databrickssql`	`startWarehouse`	SQL 仓库已启动。	`id`
`databrickssql`	`stopWarehouse`	仓库管理员停止 SQL 仓库。排除自动停止的仓库。	`id`
`databrickssql`	`transferObjectOwnership`	工作区管理员通过转移对象所有权 API 将仪表板、查询或旧警报的所有权转移到活动用户。此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。	`newOwner` `objectId` `objectType`
`databrickssql`	`unfavoriteDashboard`	用户从其收藏夹中删除仪表板。	`dashboardId`
`databrickssql`	`unfavoriteQuery`	用户从其收藏夹中删除查询。	`queryId`
`databrickssql`	`updateAlert`	用户对旧警报进行更新。 `ownerUserName` 会在通过 API 转移旧警报所有权时填充。	`alertId` `queryId` `ownerUserName`
`databrickssql`	`updateNotificationDestination`	工作区管理员对通知目标进行更新。	`notificationDestinationId`
`databrickssql`	`updateDashboardWidget`	用户对仪表板小组件进行更新。排除对轴刻度的更改。适用更新的示例包括：对小组件大小或放置的更改添加或移除小组件参数	`widgetId`
`databrickssql`	`updateDashboard`	用户对仪表板属性进行更新。排除对计划和订阅的更改。适用更新的示例包括：仪表板名称更改对 SQL 仓库的更改对“运行方式”设置的更改	`dashboardId`
`databrickssql`	`updateFolderNode`	用户在工作区浏览器中更新文件夹节点。	`name`
`databrickssql`	`updateOrganizationSetting`	工作区管理员对工作区的 SQL 设置进行更新。	`has_configured_data_access` `has_explored_sql_warehouses` `has_granted_permissions` `hide_plotly_mode_bar` `send_email_on_failed_dashboards` `allow_downloads`
`databrickssql`	`updateQuery`	用户对查询进行更新。如果使用 API 转移查询所有权，则会填充 `ownerUserName`。	`queryId` `ownerUserName`
`databrickssql`	`updateQueryDraft`	用户对查询草稿进行更新。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`updateQuerySnippet`	用户对查询片段进行更新。	`querySnippetId`
`databrickssql`	`updateVisualization`	用户从 SQL 编辑器或仪表板更新可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`
`databrickssql`	`viewAdhocVisualizationQuery`	用户查看可视化后面的查询。	无

数据监视事件

以下 dataMonitoring 事件在工作区级别记录。

服务	行动	说明	请求参数
`dataMonitoring`	`CreateMonitor`	用户创建监视器。	`data_classification_config` `full_table_name_arg` `assets_dir` `schedule` `output_schema_name` `notifications` `inference_log`
`dataMonitoring`	`UpdateMonitor`	用户对监视器进行更新。	`data_classification_config` `table_name` `full_table_name_arg` `drift_metrics_table_name` `dashboard_id` `custom_metrics` `assets_dir` `monitor_version` `profile_metrics_table_name` `baseline_table_name` `status` `output_schema_name` `inference_log` `slicing_exprs`
`dataMonitoring`	`DeleteMonitor`	用户删除监视器。	`full_table_name_arg`
`dataMonitoring`	`RunRefresh`	按计划或手动刷新监视器。	`full_table_name_arg`

DBFS 事件

下表包括在工作区级别记录的 dbfs 事件。

有两种类型的 DBFS 事件：API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 写入时，才会记录以下 DBFS 审核事件。

服务	行动	说明	请求参数
`dbfs`	`addBlock`	用户将数据块追加到流。这与 dbfs/create 结合使用，以将数据流式传输到 DBFS。	`handle` `data_length`
`dbfs`	`create`	用户打开流以将文件写入 DBFS。	`path` `bufferSize` `overwrite`
`dbfs`	`delete`	用户从 DBF 中删除文件或目录。	`recursive` `path`
`dbfs`	`mkdirs`	用户创建新的 DBFS 目录。	`path`
`dbfs`	`move`	用户在 DBF 中将文件从一个位置移到另一个位置。	`dst` `source_path` `src` `destination_path`
`dbfs`	`put`	用户通过使用多部分表单 POST 将文件上传到 DBFS。	`path` `overwrite`

DBFS 操作事件

以下 DBFS 审核事件发生在计算平面上。

服务	行动	说明	请求参数
`dbfs`	`mount`	用户在特定 DBFS 位置创建装入点。	`mountPoint` `owner`
`dbfs`	`unmount`	用户移除特定 DBFS 位置的装入点。	`mountPoint`

Delta 管道事件

服务	行动	说明	请求参数
`deltaPipelines`	`changePipelineAcls`	用户更改对管道的权限。	`shardId` `targetUserId` `resourceId` `aclPermissionSet`
`deltaPipelines`	`create`	用户创建声明性管道。	`allow_duplicate_names` `clusters` `configuration` `continuous` `development` `dry_run` `id` `libraries` `name` `storage` `target` `channel` `edition` `photon`
`deltaPipelines`	`delete`	用户删除声明性管道。	`pipeline_id`
`deltaPipelines`	`edit`	用户编辑声明式管道。	`allow_duplicate_names` `clusters` `configuration` `continuous` `development` `expected_last_modified` `id` `libraries` `name` `pipeline_id` `storage` `target` `channel` `edition` `photon`
`deltaPipelines`	`startUpdate`	用户重新启动声明性管道。	`cause` `full_refresh` `job_task` `pipeline_id`
`deltaPipelines`	`stop`	用户停止声明性管道。	`pipeline_id`

特征存储事件

以下 featureStore 事件在工作区级别记录。

服务	行动	说明	请求参数
`featureStore`	`addConsumer`	将使用者添加到特征存储。	`features` `job_run` `notebook`
`featureStore`	`addDataSources`	数据源已添加到特征表。	`feature_table` `paths, tables`
`featureStore`	`addProducer`	将生成者添加到特征表。	`feature_table` `job_run` `notebook`
`featureStore`	`changeFeatureTableAcl`	特征表中的权限已发生更改。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`featureStore`	`createFeatureTable`	已创建特征表。	`description` `name` `partition_keys` `primary_keys` `timestamp_keys`
`featureStore`	`createFeatures`	特征是在特征表中创建的。	`feature_table` `features`
`featureStore`	`deleteFeatureTable`	已删除特征表。	`name`
`featureStore`	`deleteTags`	已从特征表中删除标记。	`feature_table_id` `keys`
`featureStore`	`getConsumers`	用户进行调用以获取特征表中的使用者。	`feature_table`
`featureStore`	`getFeatureTable`	用户进行调用以获取特征表。	`name`
`featureStore`	`getFeatureTablesById`	用户进行调用以获取特征表 ID。	`ids`
`featureStore`	`getFeatures`	用户进行调用以获取特征。	`feature_table` `max_results`
`featureStore`	`getModelServingMetadata`	用户进行调用以获取模型服务元数据。	`feature_table_features`
`featureStore`	`getOnlineStore`	用户进行调用以获取在线商店详细信息。	`cloud` `feature_table` `online_table` `store_type`
`featureStore`	`getTags`	用户进行调用以获取特征表的标记。	`feature_table_id`
`featureStore`	`publishFeatureTable`	发布特征表。	`cloud` `feature_table` `host` `online_table` `port` `read_secret_prefix` `store_type` `write_secret_prefix`
`featureStore`	`searchFeatureTables`	用户搜索特征表。	`max_results` `page_token` `text`
`featureStore`	`setTags`	已将标记添加到特征表。	`feature_table_id` `tags`
`featureStore`	`updateFeatureTable`	已更新特征表。	`description` `name`

文件事件

以下 filesystem 事件在工作区级别记录。

服务	行动	说明	请求参数
`filesystem`	`filesGet`	用户通过文件 API 或卷 UI 下载文件。	`path` `transferredSize`
`filesystem`	`filesPut`	用户使用文件 API 或卷 UI 上传文件。	`path` `receivedSize`
`filesystem`	`filesDelete`	用户使用文件 API 或卷 UI 删除文件。	`path`
`filesystem`	`filesHead`	用户使用文件 API 或卷 UI 获取有关文件的信息。	`path`

Genie 事件

以下 genie 事件在工作区级别记录。

备注

此服务与 AI/BI Genie 空间无关。请参阅 AI/BI Genie 事件。

服务	行动	说明	请求参数
`genie`	`databricksAccess`	Databricks 人员有权访问客户环境。	`duration` `approver` `reason` `authType` `user`

Git 凭据事件

以下 gitCredentials 事件在工作区级别记录。

服务	行动	说明	请求参数
`gitCredentials`	`getGitCredential`	用户获取 git 凭据。	`id`
`gitCredentials`	`listGitCredentials`	用户列出所有 Git 凭据	无
`gitCredentials`	`deleteGitCredential`	用户删除 git 凭据。	`id`
`gitCredentials`	`updateGitCredential`	用户更新 git 凭据。	`id` `git_provider` `git_username`
`gitCredentials`	`createGitCredential`	用户创建 git 凭据。	`git_provider` `git_username`

全局初始化脚本事件

以下 globalInitScripts 事件在工作区级别记录。

服务	行动	说明	请求参数
`globalInitScripts`	`create`	工作区管理员创建全局初始化脚本。	`name` `position` `script-SHA256` `enabled`
`globalInitScripts`	`update`	工作区管理员更新全局初始化脚本。	`script_id` `name` `position` `script-SHA256` `enabled`
`globalInitScripts`	`delete`	工作区管理员删除全局初始化脚本。	`script_id`

群组事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 groups 事件在工作区级别记录。这些操作与旧 ACL 组相关。有关与帐户和工作区级别组相关的操作，请参阅帐户事件和帐户级帐户事件。

服务	行动	说明	请求参数
`groups`	`addPrincipalToGroup`	管理员将用户添加到组。	`user_name` `parent_name`
`groups`	`createGroup`	管理员创建组。	`group_name`
`groups`	`getGroupMembers`	管理员查看组成员。	`group_name`
`groups`	`getGroups`	管理员查看组列表	无
`groups`	`getInheritedGroups`	管理员查看继承的组	无
`groups`	`removeGroup`	管理员移除一个组。	`group_name`

IAM 角色事件

以下 iamRole 事件在工作区级别记录。

服务	行动	说明	请求参数
`iamRole`	`changeIamRoleAcl`	工作区管理员更改 IAM 角色的权限。	`targetUserId` `shardName` `resourceId` `aclPermissionSet`

引入事件

以下 ingestion 事件在工作区级别记录。

服务	行动	说明	请求参数
`ingestion`	`proxyFileUpload`	用户将文件上传到其 Azure Databricks 工作区。	`x-databricks-content-length-0` `x-databricks-total-files`

实例池事件

以下 instancePools 事件在工作区级别记录。

服务	行动	说明	请求参数
`instancePools`	`changeInstancePoolAcl`	用户更改实例池的权限。	`shardName` `resourceId` `targetUserId` `aclPermissionSet`
`instancePools`	`create`	用户创建实例池。	`enable_elastic_disk` `preloaded_spark_versions` `idle_instance_autotermination_minutes` `instance_pool_name` `node_type_id` `custom_tags` `max_capacity` `min_idle_instances` `aws_attributes`
`instancePools`	`delete`	用户删除实例池。	`instance_pool_id`
`instancePools`	`edit`	用户编辑实例池。	`instance_pool_name` `idle_instance_autotermination_minutes` `min_idle_instances` `preloaded_spark_versions` `max_capacity` `enable_elastic_disk` `node_type_id` `instance_pool_id` `aws_attributes`

作业事件

以下 jobs 事件在工作区级别记录。

服务	行动	说明	请求参数
`jobs`	`cancel`	取消作业运行。	`run_id`
`jobs`	`cancelAllRuns`	用户取消作业的所有运行。	`job_id`
`jobs`	`changeJobAcl`	用户更新作业的权限。	`shardName` `aclPermissionSet` `resourceId` `targetUserId`
`jobs`	`create`	用户创建作业。	`spark_jar_task` `email_notifications` `notebook_task` `spark_submit_task` `timeout_seconds` `libraries` `name` `spark_python_task` `job_type` `new_cluster` `existing_cluster_id` `max_retries` `schedule` `run_as`
`jobs`	`delete`	用户删除作业。	`job_id`
`jobs`	`deleteRun`	用户删除作业运行。	`run_id`
`jobs`	`getRunOutput`	用户进行 API 调用以获取运行输出。	`run_id` `is_from_webapp`
`jobs`	`repairRun`	用户修复作业运行。	`run_id` `latest_repair_id` `rerun_tasks`
`jobs`	`reset`	重置作业。	`job_id` `new_settings`
`jobs`	`resetJobAcl`	用户请求更改作业的权限。	`grants` `job_id`
`jobs`	`runCommand`	在启用详细的审核日志时可用。在作业运行执行笔记本中的命令后发出。命令对应于笔记本中的单元格。	`jobId` `runId` `notebookId` `executionTime` `status` `commandId` `commandText`
`jobs`	`runFailed`	作业运行失败或已取消。	`jobClusterType` `jobTriggerType` `jobId` `jobTaskType` `runId` `jobTerminalState` `idInJob` `orgId` `runCreatorUserName`
`jobs`	`runNow`	用户触发按需作业运行。	`notebook_params` `job_id` `jar_params` `workflow_context`
`jobs`	`runStart`	在验证和创建群集后启动作业运行时发出。此事件发出的请求参数取决于作业中的任务类型。除了列出的参数外，它们还可以包括： `dashboardId`（针对 SQL 仪表板任务） `filePath`（针对 SQL 文件任务） `notebookPath`（针对笔记本任务） `mainClassName`（针对 Spark JAR 任务） `pythonFile`（针对 Spark JAR 任务） `projectDirectory`（针对 dbt 任务） `commands`（针对 dbt 任务） `packageName`（针对 Python wheel 任务） `entryPoint`（针对 Python wheel 任务） `pipelineId`（针对管道任务） `queryIds` 用于 SQL 查询任务 `alertId` （用于 SQL 警报任务）	`taskDependencies` `multitaskParentRunId` `orgId` `idInJob` `jobId` `jobTerminalState` `taskKey` `jobTriggerType` `jobTaskType` `runId` `runCreatorUserName`
`jobs`	`runSucceeded`	作业运行成功。	`idInJob` `jobId` `jobTriggerType` `orgId` `runId` `jobClusterType` `jobTaskType` `jobTerminalState` `runCreatorUserName`
`jobs`	`runTriggered`	作业计划根据其计划或触发器自动触发。	`jobId` `jobTriggeredType` `runId`
`jobs`	`sendRunWebhook`	当作业开始、完成或失败时，将发送 Webhook。	`orgId` `jobId` `jobWebhookId` `jobWebhookEvent` `runId`
`jobs`	`setTaskValue`	用户为任务设置值。	`run_id` `key`
`jobs`	`submitRun`	用户通过 API 提交一次性运行。	`shell_command_task` `run_name` `spark_python_task` `existing_cluster_id` `notebook_task` `timeout_seconds` `libraries` `new_cluster` `spark_jar_task`
`jobs`	`update`	用户编辑作业的设置。	`job_id` `fields_to_remove` `new_settings` `is_from_dlt`

世系跟踪事件

以下 lineageTracking 事件在工作区级别记录。

服务	行动	说明	请求参数
`lineageTracking`	`listColumnLineages`	用户访问某个列的上游列或下游列的列表。	`table_name` `column_name` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。
`lineageTracking`	`listSecurableLineagesBySecurable`	用户访问某个安全对象的上游或下游安全对象的列表。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。
`lineageTracking`	`listEntityLineagesBySecurable`	用户访问与安全对象关联的实体列表（如笔记本、作业等），这些实体可以对安全对象进行写入或读取操作。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。 `entity_response_filter`：实体类型（笔记本、作业、仪表板、管道、查询、服务终结点等）。
`lineageTracking`	`getColumnLineages`	用户获取表及其列的列世系。	`table_name` `column_name`
`lineageTracking`	`getTableEntityLineages`	用户获取表的上游和下游的世系信息。	`table_name` `include_entity_lineage`
`lineageTracking`	`getJobTableLineages`	用户获取作业的上游和下游的表世系信息。	`job_id`
`lineageTracking`	`getFunctionLineages`	用户获取函数的上游和下游安全对象和实体（笔记本、作业等）。	`function_name`
`lineageTracking`	`getModelVersionLineages`	用户获取模型及其版本的上游和下游安全对象和实体（笔记本、作业等）。	`model_name` `version`
`lineageTracking`	`getEntityTableLineages`	用户可以获取实体（例如笔记本、作业等）的上游表和下游表。	`entity_type` `entity_id`
`lineageTracking`	`getFrequentlyJoinedTables`	用户获取表的常用联接表。	`table_name`
`lineageTracking`	`getFrequentQueryByTable`	用户获取表的常用查询。	`source_table_name`
`lineageTracking`	`getFrequentUserByTable`	用户获取表的常用用户。	`table_name`
`lineageTracking`	`getTablePopularityByDate`	用户获取过去一个月内表的受欢迎程度（查询计数）。	`table_name`
`lineageTracking`	`getPopularEntities`	用户获取表的常用实体（笔记本、作业等）。	`scope`：指定用于从工作区或表名称检索常用实体的范围。 `table_name`
`lineageTracking`	`getPopularTables`	用户获取有关表的受欢迎程度的信息。	`scope`：指定从元存储或表列表中检索常用表的范围。 `table_name_list`

市场使用者事件

以下 marketplaceConsumer 事件在工作区级别记录。

服务	行动	说明	请求参数
`marketplaceConsumer`	`getDataProduct`	用户通过 Databricks 市场访问数据产品。	`listing_id` `listing_name` `share_name` `catalog_name` `request_context`：有关有权访问数据产品的帐户和元存储的信息的阵列
`marketplaceConsumer`	`requestDataProduct`	用户请求访问需要提供者批准的数据产品。	`listing_id` `listing_name` `catalog_name` `request_context`：有关请求访问数据产品的帐户和元存储的信息的阵列

市场提供者事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 marketplaceProvider 事件在工作区级别记录。

服务	行动	说明	请求参数
`marketplaceProvider`	`createListing`	元存储管理员在其提供者配置文件中创建列表。	`listing`：包含关于列表的详细信息的数组 `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`updateListing`	元存储管理员更新其提供者配置文件中的列表。	`id` `listing`：包含关于列表的详细信息的数组 `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`deleteListing`	元存储管理员在其提供者配置文件中删除列表。	`id` `request_context`：有关提供程序的帐户和元存储的详细信息数组
`marketplaceProvider`	`updateConsumerRequestStatus`	元存储管理员批准或拒绝数据产品请求。	`listing_id` `request_id` `status` `reason` `share`：有关共享的信息的阵列 `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`createProviderProfile`	元存储管理员创建提供者配置文件。	`provider`：有关提供程序的信息的阵列 `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`updateProviderProfile`	元存储管理员更新其提供者配置文件。	`id` `provider`：有关提供程序的信息的阵列 `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`deleteProviderProfile`	元存储管理员删除其提供者配置文件。	`id` `request_context`：有关提供程序的帐户和元数据存储的信息数组
`marketplaceProvider`	`uploadFile`	提供者将文件上传到其提供者配置文件。	`request_context`：有关提供程序的帐户和元数据存储的信息数组 `marketplace_file_type` `display_name` `mime_type` `file_parent`：文件父详细信息数组
`marketplaceProvider`	`deleteFile`	提供者从其提供者配置文件中删除文件。	`file_id` `request_context`：有关提供程序的帐户和元数据存储的信息数组

包含 ACL 事件的 MLflow 项目

以下 mlflowAcledArtifact 事件在工作区级别记录。

服务	行动	说明	请求参数
`mlflowAcledArtifact`	`readArtifact`	用户进行调用以读取项目。	`artifactLocation` `experimentId` `runId`
`mlflowAcledArtifact`	`writeArtifact`	用户进行调用以写入到项目。	`artifactLocation` `experimentId` `runId`

MLflow 试验事件

以下 mlflowExperiment 事件在工作区级别记录。

服务	行动	说明	请求参数
`mlflowExperiment`	`createMlflowExperiment`	用户创建 MLflow 实验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`deleteMlflowExperiment`	用户删除 MLflow 实验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`moveMlflowExperiment`	用户移动 MLflow 试验。	`newPath` `experimentId` `oldPath`
`mlflowExperiment`	`restoreMlflowExperiment`	用户还原 MLflow 试验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`renameMlflowExperiment`	用户重命名 MLflow 试验。	`oldName` `newName` `experimentId` `parentPath`

MLflow 模型注册表事件

以下 mlflowModelRegistry 事件在工作区级别记录。

服务	行动	说明	请求参数
`modelRegistry`	`approveTransitionRequest`	用户批准模型版本阶段转换请求。	`name` `version` `stage` `archive_existing_versions`
`modelRegistry`	`changeRegisteredModelAcl`	用户更新已注册模型的权限。	`registeredModelId` `userId`
`modelRegistry`	`createComment`	用户发布对模型版本的注释。	`name` `version`
`modelRegistry`	`createModelVersion`	用户创建模型版本。	`name` `source` `run_id` `tags` `run_link`
`modelRegistry`	`createRegisteredModel`	用户创建新的已注册模型	`name` `tags`
`modelRegistry`	`createRegistryWebhook`	用户为模型注册表事件创建 Webhook。	`orgId` `registeredModelId` `events` `description` `status` `creatorId` `httpUrlSpec`
`modelRegistry`	`createTransitionRequest`	用户创建模型版本阶段转换请求。	`name` `version` `stage`
`modelRegistry`	`deleteComment`	用户删除对模型版本的注释。	`id`
`modelRegistry`	`deleteModelVersion`	用户删除模型版本。	`name` `version`
`modelRegistry`	`deleteModelVersionTag`	用户删除模型版本标记。	`name` `version` `key`
`modelRegistry`	`deleteRegisteredModel`	用户删除已注册模型	`name`
`modelRegistry`	`deleteRegisteredModelTag`	用户删除已注册模型的标记。	`name` `key`
`modelRegistry`	`deleteRegistryWebhook`	用户删除模型注册表 Webhook。	`orgId` `webhookId`
`modelRegistry`	`deleteTransitionRequest`	用户取消模型版本阶段转换请求。	`name` `version` `stage` `creator`
`modelRegistry`	`finishCreateModelVersionAsync`	已完成异步模型复制。	`name` `version`
`modelRegistry`	`generateBatchInferenceNotebook`	批处理推理笔记本是自动生成的。	`userId` `orgId` `modelName` `inputTableOpt` `outputTablePathOpt` `stageOrVersion` `modelVersionEntityOpt` `notebookPath`
`modelRegistry`	`generateDltInferenceNotebook`	声明性管道的推理过程笔记本已自动生成。	`userId` `orgId` `modelName` `inputTable` `outputTable` `stageOrVersion` `notebookPath`
`modelRegistry`	`getModelVersionDownloadUri`	用户获取用于下载模型版本的 URI。	`name` `version`
`modelRegistry`	`getModelVersionSignedDownloadUri`	用户获取用于下载已签名模型版本的 URI。	`name` `version` `path`
`modelRegistry`	`listModelArtifacts`	用户进行调用以列出模型的项目。	`name` `version` `path` `page_token`
`modelRegistry`	`listRegistryWebhooks`	用户进行调用以列出模型中的所有注册表 Webhook。	`orgId` `registeredModelId`
`modelRegistry`	`rejectTransitionRequest`	用户拒绝模型版本阶段转换请求。	`name` `version` `stage`
`modelRegistry`	`renameRegisteredModel`	用户重命名已注册模型	`name` `new_name`
`modelRegistry`	`setEmailSubscriptionStatus`	用户更新已注册模型的电子邮件订阅状态
`modelRegistry`	`setModelVersionTag`	用户设置模型版本标记。	`name` `version` `key` `value`
`modelRegistry`	`setRegisteredModelTag`	用户设置模型版本标记。	`name` `key` `value`
`modelRegistry`	`setUserLevelEmailSubscriptionStatus`	用户更新整个注册表的电子邮件通知状态。	`orgId` `userId` `subscriptionStatus`
`modelRegistry`	`testRegistryWebhook`	用户测试模型注册表 Webhook。	`orgId` `webhookId`
`modelRegistry`	`transitionModelVersionStage`	用户获取模型版本的所有开放阶段转换请求的列表。	`name` `version` `stage` `archive_existing_versions`
`modelRegistry`	`triggerRegistryWebhook`	事件触发模型注册表 Webhook。	`orgId` `registeredModelId` `events` `status`
`modelRegistry`	`updateComment`	用户发布对模型版本的注释的编辑。	`id`
`modelRegistry`	`updateRegistryWebhook`	用户更新模型注册表 Webhook。	`orgId` `webhookId`

模型服务事件

以下 serverlessRealTimeInference 事件在工作区级别记录。

服务	行动	说明	请求参数
`serverlessRealTimeInference`	`changeInferenceEndpointAcl`	用户更新推理终结点的权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`serverlessRealTimeInference`	`createServingEndpoint`	用户创建模型服务终结点。	`name` `config`
`serverlessRealTimeInference`	`deleteServingEndpoint`	用户删除模型服务终结点。	`name`
`serverlessRealTimeInference`	`disable`	用户为已注册模型禁用模型服务。	`registered_mode_name`
`serverlessRealTimeInference`	`enable`	用户为已注册模型启用模型服务。	`registered_mode_name`
`serverlessRealTimeInference`	`getQuerySchemaPreview`	用户进行调用以获取查询架构预览。	`endpoint_name`
`serverlessRealTimeInference`	`updateServingEndpoint`	用户更新模型服务终结点。	`name` `served_models` `traffic_config`
`serverlessRealTimeInference`	`updateInferenceEndpointRateLimits`	用户更新推理终结点的速率限制。速率限制仅适用于基础模型 API 的按令牌付费和外部模型终结点。	`name` `rate_limits`

笔记本事件

以下 notebook 事件在工作区级别记录。

服务	行动	说明	请求参数
`notebook`	`attachNotebook`	将笔记本附加到群集。还会在将新的 SQL 编辑器附加到 SQL 仓库时发出。	`path` `clusterId` `notebookId`
`notebook`	`cloneNotebook`	用户克隆笔记本。	`notebookId` `path` `clonedNotebookId` `destinationPath`
`notebook`	`createNotebook`	创建笔记本。	`notebookId` `path`
`notebook`	`deleteFolder`	已删除笔记本文件夹。	`path`
`notebook`	`deleteNotebook`	删除笔记本。	`notebookId` `notebookName` `path`
`notebook`	`detachNotebook`	笔记本与群集分离。还会在从 SQL 仓库拆离新的 SQL 编辑器时发出。	`notebookId` `clusterId` `path`
`notebook`	`downloadLargeResults`	用户下载的查询结果太大，无法显示在笔记本中。	`notebookId` `notebookFullPath`
`notebook`	`downloadPreviewResults`	用户下载查询结果。	`notebookId` `notebookFullPath`
`notebook`	`importNotebook`	用户导入笔记本。	`path`
`notebook`	`moveFolder`	笔记本文件夹已从一个位置移动到另一个位置。	`oldPath` `newPath` `folderId`
`notebook`	`moveNotebook`	笔记本电脑已从一个位置移动到另一个位置。	`newPath` `oldPath` `notebookId`
`notebook`	`renameNotebook`	笔记本已重命名。	`newName` `oldName` `parentPath` `notebookId`
`notebook`	`restoreFolder`	删除的文件夹已还原。	`path`
`notebook`	`restoreNotebook`	删除的笔记本已还原。	`path` `notebookId` `notebookName`
`notebook`	`runCommand`	在启用详细的审核日志时可用。 Databricks 在笔记本或新的 SQL 编辑器中运行命令后会发出信号。命令对应于笔记本中的单元格或新 SQL 编辑器中的查询文本。 `executionTime` 以秒为度量单位。	`notebookId` `executionTime` `status` `commandId` `commandText` `commandLanguage`
`notebook`	`takeNotebookSnapshot`	在运行作业服务或 mlflow 时拍摄笔记本快照。	`path`

Partner Connect 活动

以下 partnerHub 事件在工作区级别记录。

服务	行动	说明	请求参数
`partnerHub`	`createOrReusePartnerConnection`	工作区管理员设置与合作伙伴解决方案的连接。	`partner_name`
`partnerHub`	`deletePartnerConnection`	工作区管理员删除合作伙伴连接。	`partner_name`
`partnerHub`	`downloadPartnerConnectionFile`	工作区管理员下载合作伙伴连接文件。	`partner_name`
`partnerHub`	`setupResourcesForPartnerConnection`	工作区管理员为合作伙伴连接设置资源。	`partner_name`

预测性优化事件

以下 predictiveOptimization 事件在工作区级别记录。

服务	行动	说明	请求参数
`predictiveOptimization`	`PutMetrics`	记录了预测性优化更新表和工作负荷指标的时间，以便服务可以更智能地计划优化操作。	`table_metrics_list` `start_time` `end_time`

远程历史记录服务事件

以下 RemoteHistoryService 事件在工作区级别记录。

服务	行动	说明	请求参数
`RemoteHistoryService`	`addUserGitHubCredentials`	用户添加 Github 凭证	无
`RemoteHistoryService`	`deleteUserGitHubCredentials`	用户删除 Github 凭据	无
`RemoteHistoryService`	`updateUserGitHubCredentials`	用户更新 GitHub 凭据	无

Git 文件夹事件

以下 repos 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`repos`	`checkoutBranch`	用户从存储库检出一个分支。	`id` `branch`
`repos`	`commitAndPush`	用户提交并推送到存储库。	`id` `message` `files` `checkSensitiveToken`
`repos`	`createRepo`	用户在工作区中创建存储库	`url` `provider` `path`
`repos`	`deleteRepo`	用户删除存储库。	`id`
`repos`	`discard`	用户放弃提交到存储库。	`id` `file_paths`
`repos`	`getRepo`	用户进行调用以获取有关单个存储库的信息。	`id`
`repos`	`listRepos`	用户进行调用以获取他们对其拥有管理权限的所有存储库。	`path_prefix` `next_page_token`
`repos`	`pull`	用户从存储库拉取最新提交。	`id`
`repos`	`updateRepo`	用户将存储库更新到不同的分支或标记，或更新到同一分支上的最新提交。	`id` `branch` `tag` `git_url` `git_provider`

机密事件

以下 secrets 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`secrets`	`createScope`	用户创建机密范围。	`scope` `initial_manage_principal` `scope_backend_type`
`secrets`	`deleteAcl`	用户删除机密范围的 ACL。	`scope` `principal`
`secrets`	`deleteScope`	用户删除机密范围。	`scope`
`secrets`	`deleteSecret`	用户从范围中删除机密。	`key` `scope`
`secrets`	`getAcl`	用户获取机密范围的 ACL。	`scope` `principal`
`secrets`	`getSecret`	用户从范围中获取机密。	`key` `scope`
`secrets`	`listAcls`	用户进行调用以列出机密范围的 ACL。	`scope`
`secrets`	`listScopes`	用户进行调用以列出机密范围	无
`secrets`	`listSecrets`	用户进行调用以列出范围中的机密。	`scope`
`secrets`	`putAcl`	用户更改机密范围的 ACL。	`scope` `principal` `permission`
`secrets`	`putSecret`	用户在特定范围内添加或修改机密。	`string_value` `key` `scope`

SQL 表访问事件

备注

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议将 Hive 元存储管理的表升级到 Unity Catalog 元存储。

以下 sqlPermissions 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`sqlPermissions`	`changeSecurableOwner`	工作区管理员或对象的所有者转让对象所有权。	`securable` `principal`
`sqlPermissions`	`createSecurable`	用户创建安全对象。	`securable`
`sqlPermissions`	`denyPermission`	对象所有者拒绝对安全对象的权限。	`permission`
`sqlPermissions`	`grantPermission`	对象所有者授予对安全对象的权限。	`permission`
`sqlPermissions`	`removeAllPermissions`	用户删除安全对象。	`securable`
`sqlPermissions`	`renameSecurable`	用户重命名安全对象。	`before` `after`
`sqlPermissions`	`requestPermissions`	用户请求对安全对象的权限。	`requests`
`sqlPermissions`	`revokePermission`	对象所有者撤销对其安全对象的权限。	`permission`
`sqlPermissions`	`showPermissions`	用户查看安全对象权限。	`securable` `principal`

SSH 事件

以下 ssh 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`ssh`	`login`	代理通过 SSH 登录到 Spark 驱动程序。	`containerId` `userName` `port` `publicKey` `instanceId`
`ssh`	`logout`	代理通过 SSH 从 Spark 驱动程序注销。	`userName` `containerId` `instanceId`

Uniform Iceberg REST API 事件

以下 uniformIcebergRestCatalog 事件在工作区级别记录。当用户使用支持 Iceberg REST 目录 API 的外部 Iceberg 兼容引擎与托管 Iceberg 表交互时，将记录这些事件。

服务	行动	说明	请求参数
`uniformIcebergRestCatalog`	`config`	用户获取目录配置。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`createNamespace`	用户创建一个命名空间，其中包含一组可选的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`createTable`	用户创建新的 Iceberg 表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`deleteNamespace`	用户删除现有命名空间。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`deleteTable`	用户删除现有表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`getNamespace`	用户获取命名空间的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`listNamespaces`	用户发出调用以在指定级别列出所有命名空间。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`listTables`	用户列出给定命名空间下的所有表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadTableCredentials`	用户从目录中加载表的已出售凭据。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadTable`	用户从目录中加载表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadView`	用户从目录中加载视图。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`namespaceExists`	用户检查命名空间是否存在。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`renameTable`	用户重命名现有表	`http_method` `http_path`
`uniformIcebergRestCatalog`	`reportMetrics`	用户发送指标报表	`http_method` `http_path`
`uniformIcebergRestCatalog`	`tableExists`	用户检查给定命名空间中是否存在表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`updateNamespaceProperties`	用户更新命名空间的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`updateTable`	用户更新表元数据。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`viewExists`	用户检查给定命名空间中是否存在视图。	`http_method` `http_path`

矢量搜索事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 vectorSearch 事件在工作区级别记录。

服务	行动	说明	请求参数
`vectorSearch`	`createEndpoint`	用户创建矢量搜索终结点。	`name` `endpoint_type`
`vectorSearch`	`deleteEndpoint`	用户删除矢量搜索终结点。	`name`
`vectorSearch`	`createVectorIndex`	用户创建矢量搜索索引。	`name` `endpoint_name` `primary_key` `index_type` `delta_sync_index_spec` `direct_access_index_spec`
`vectorSearch`	`deleteVectorIndex`	用户删除矢量搜索索引。	`name` `endpoint_name`（可选） `delete_embedding_writeback_table`
`vectorSearch`	`changeEndpointAcl`	用户更改终结点的访问控制列表。	`name` `endpoint_name` `access_control_list`
`vectorSearch`	`queryVectorIndex`	用户查询矢量搜索索引。	`name` `endpoint_name`（可选）
`vectorSearch`	`queryVectorIndexNextPage`	用户读取矢量搜索索引查询的分页结果。	`name` `endpoint_name`（可选）
`vectorSearch`	`scanVectorIndex`	用户扫描矢量搜索索引中的所有数据。	`name` `endpoint_name`（可选）
`vectorSearch`	`upsertDataVectorIndex`	用户在随机存取矢量搜索索引中更新插入数据。	`name` `endpoint_name`（可选）
`vectorSearch`	`deleteDataVectorIndex`	用户在随机存取矢量搜索索引中删除数据。	`name` `endpoint_name`（可选）
`vectorSearch`	`queryVectorIndexRouteOptimized`	用户使用低延迟 API 路由查询矢量搜索索引。	`name` `endpoint_name`（可选）
`vectorSearch`	`queryVectorIndexNextPageRouteOptimized`	用户使用低延迟 API 路由读取矢量搜索索引查询的分页结果。	`name` `endpoint_name`（可选）
`vectorSearch`	`scanVectorIndexRouteOptimized`	用户使用低延迟 API 路由扫描矢量搜索索引中的所有数据。	`name` `endpoint_name`（可选）
`vectorSearch`	`upsertDataVectorIndexRouteOptimized`	用户使用低延迟 API 路由在随机存取矢量搜索索引中更新插入数据。	`name` `endpoint_name`（可选）
`vectorSearch`	`deleteDataVectorIndexRouteOptimized`	用户使用低延迟 API 路由在随机存取矢量搜索索引中删除数据。	`name` `endpoint_name`（可选）

Webhook 事件

以下 webhookNotifications 事件在工作区级别记录。

服务	行动	说明	请求参数
`webhookNotifications`	`createWebhook`	管理员创建新的通知目标。	`name` `options` `type`
`webhookNotifications`	`deleteWebhook`	管理员删除通知目标。	`id`
`webhookNotifications`	`getWebhook`	用户使用 UI 或 API 查看有关通知目标的信息。	`id`
`webhookNotifications`	`notifyWebhook`	将触发 Webhook 并将通知有效负载发送到目标 URL。	`body` `id`
`webhookNotifications`	`testWebhook`	为验证配置并确保能够成功接收通知，将测试负载发送至 Webhook URL。	`id`
`webhookNotifications`	`updateWebhook`	管理员更新通知目标。	`name` `options` `type`

Web 终端事件

以下 webTerminal 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`webTerminal`	`startSession`	用户启动 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`
`webTerminal`	`closeSession`	用户关闭 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`

工作区事件

以下 workspace 事件在工作区级别记录。

服务	操作名称	说明	请求参数
`workspace`	`changeWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `aclPermissionSet` `resourceId`
`workspace`	`deleteSetting`	已删除工作区中的一项设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName`
`workspace`	`fileCreate`	用户在工作区中创建文件。	`path`
`workspace`	`fileDelete`	用户删除工作区中的文件。	`path`
`workspace`	`fileEditorOpenEvent`	用户打开文件编辑器。	`notebookId` `path`
`workspace`	`getRoleAssignment`	用户获取工作区的用户角色。	`account_id` `workspace_id`
`workspace`	`mintOAuthAuthorizationCode`	在工作区级别创建内部 OAuth 授权代码时记录。	`client_id`
`workspace`	`mintOAuthToken`	已为工作区生成 OAuth 令牌。	`grant_type` `scope` `expires_in` `client_id`
`workspace`	`moveWorkspaceNode`	工作区管理员移动工作区节点。	`destinationPath` `path`
`workspace`	`purgeWorkspaceNodes`	工作区管理员清除工作区节点。	`treestoreId`
`workspace`	`reattachHomeFolder`	为重新添加到工作区的用户附加现有主文件夹。	`path`
`workspace`	`renameWorkspaceNode`	工作区管理员重命名工作区节点。	`path` `destinationPath`
`workspace`	`unmarkHomeFolder`	从工作区中移除用户时，会同时移除主文件夹特殊属性。	`path`
`workspace`	`updateRoleAssignment`	工作区管理员更新工作区用户的角色。	`account_id` `workspace_id` `principal_id`
`workspace`	`updatePermissionAssignment`	工作区管理员将主体添加到工作区。	`principal_id` `permissions`
`workspace`	`setSetting`	工作区管理员配置工作区设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`workspace`	`workspaceConfEdit`	工作区管理员对设置进行更新，例如启用详细的审核日志。	`workspaceConfKeys` `workspaceConfValues`
`workspace`	`workspaceExport`	用户从工作区中导出笔记本。	`workspaceExportDirectDownload` `workspaceExportFormat` `notebookFullPath`
`workspace`	`workspaceInHouseOAuthClientAuthentication`	OAuth 客户端在工作区服务中进行身份验证。	`user`

Databricks Apps 事件

以下 Databricks Apps 事件是在工作区级别记录的。

服务	操作名称	说明	请求参数
`apps`	`createApp`	用户使用应用 UI 或 API 创建自定义应用。	`app`
`apps`	`installTemplateApp`	用户使用应用 UI 或 API 安装模板应用。	`app`
`apps`	`updateApp`	用户使用应用 UI 或 API 更新应用。	`app`
`apps`	`startApp`	用户使用应用 UI 或 API 启动应用计算。	`name`
`apps`	`stopApp`	用户使用应用 UI 或 API 停止应用计算。	`name`
`apps`	`deployApp`	用户使用应用 UI 或 API 部署应用。	`app_deployment`
`apps`	`deleteApp`	用户使用应用 UI 或 API 删除应用。	`name`
`apps`	`changeAppsAcl`	用户使用应用 UI 或 API 更新应用的访问权限。	`request_object_type` `request_object_id` `access_control_list`

帐户访问控制事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

accountsAccessControl以下事件记录在帐户级别，并且与帐户访问控制 API（公共预览版）相关。

服务	操作名称	说明	请求参数
`accountsAccessControl`	`updateRuleSet`	用户使用帐户访问控制 API 更新规则集。	`account_id` `name`：规则集的名称 `rule_set` `authz_identity`

计费使用量事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 accountBillableUsage 事件会在账户层面进行记录。

服务	行动	说明	请求参数
`accountBillableUsage`	`getAggregatedUsage`	用户通过使用量关系图功能访问了帐户的聚合计费使用量（每日使用量）。	`account_id` `window_size` `start_time` `end_time` `meter_name` `workspace_ids_filter`
`accountBillableUsage`	`getDetailedUsage`	用户通过使用量下载功能访问了帐户的详细计费使用量（每个群集的使用量）。	`account_id` `start_month` `end_month` `with_pii`

帐户级别帐户事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 accounts 事件会在账户层面进行记录。

服务	行动	说明	请求参数
`accounts`	`accountInHouseOAuthClientAuthentication`	OAuth 客户端已经过身份验证。	`endpoint` `user`：记录为电子邮件地址 `authenticationMethod`
`accounts`	`accountIpAclsValidationFailed`	IP 权限验证失败。返回 statusCode 403。	`sourceIpAddress` `user`：记录为电子邮件地址
`accounts`	`activateUser`	用户被停用后重新激活。请参阅停用帐户中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`add`	用户已添加到 Azure Databricks 帐户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`addPrincipalsToGroup`	已使用 SCIM 预配将用户添加到帐户级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`createGroup`	已创建帐户级别组。	`endpoint` `targetGroupId` `targetGroupName`
`accounts`	`deactivateUser`	停用用户。请参阅停用帐户中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`delete`	已从 Azure Databricks 帐户中删除用户。	`targetUserId` `targetUserName` `endpoint`
`accounts`	`deleteSetting`	帐户管理员从 Azure Databricks 帐户中移除设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`accounts`	`garbageCollectDbToken`	用户对过期的令牌运行垃圾回收命令。	`tokenExpirationTime` `tokenClientId` `userId` `tokenCreationTime` `tokenFirstAccessed` `tokenHash`
`accounts`	`generateDbToken`	用户可以在“用户设置”中生成令牌，或者在服务生成令牌时生成。	`tokenExpirationTime` `tokenCreatedBy` `tokenHash` `userId`
`accounts`	`login`	用户登录到帐户控制台。	`user` `authenticationMethod`
`accounts`	`logout`	用户从账户管理控制台登出。	`user`
`accounts`	`oidcBrowserLogin`	用户使用 OpenID Connect 浏览器工作流登录到其帐户。	`user`
`accounts`	`oidcTokenAuthorization`	OIDC 令牌经过身份验证以用于帐户管理员登录。	`user` `authenticationMethod`
`accounts`	`removeAccountAdmin`	帐户管理员移除其他用户的帐户管理员权限。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`removeGroup`	已从帐户中移除组。	`targetGroupId` `targetGroupName` `endpoint`
`accounts`	`removePrincipalFromGroup`	用户已被移除出帐户级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`removePrincipalsFromGroup`	已使用 SCIM 预配从帐户级别组移除用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `targetUserName`
`accounts`	`setAccountAdmin`	帐户管理员将帐户管理员角色分配给另一个用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`setSetting`	帐户管理员更新帐户级别设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`accounts`	`tokenLogin`	用户使用令牌登录到 Databricks。	`tokenId` `user` `authenticationMethod`
`accounts`	`updateUser`	帐户管理员更新用户帐户。	`targetUserName` `endpoint` `targetUserId` `targetUserExternalId`
`accounts`	`updateGroup`	帐户管理员更新帐户级别组。	`endpoint` `targetGroupId` `targetGroupName`
`accounts`	`validateEmail`	当用户在创建帐户后验证其电子邮件时。	`endpoint` `targetUserName` `targetUserId`

帐户管理事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下 accountsManager 事件会在账户层面进行记录。这些事件与帐户控制台中的帐户管理员所做的配置有关。

服务	行动	说明	请求参数
`accountsManager`	`createNetworkConnectivityConfig`	帐户管理员创建了网络连接配置。	`network_connectivity_config` `account_id`
`accountsManager`	`getNetworkConnectivityConfig`	帐户管理员请求有关网络连接配置的详细信息。	`account_id` `network_connectivity_config_id`
`accountsManager`	`listNetworkConnectivityConfigs`	帐户管理员列出帐户中的所有网络连接配置。	`account_id`
`accountsManager`	`deleteNetworkConnectivityConfig`	帐户管理员删除了网络连接配置。	`account_id` `network_connectivity_config_id`
`accountsManager`	`createNetworkConnectivityConfigPrivateEndpointRule`	帐户管理员创建了专用终结点规则。	`account_id` `network_connectivity_config_id` `azure_private_endpoint_rule`
`accountsManager`	`getNetworkConnectivityConfigPrivateEndpointRule`	帐户管理员请求有关专用终结点规则的详细信息。	`account_id` `network_connectivity_config_id` `rule_id`
`accountsManager`	`listNetworkConnectivityConfigPrivateEndpointRules`	帐户管理员列出网络连接配置下的所有专用终结点规则。	`account_id` `network_connectivity_config_id` `page_token`
`accountsManager`	`deleteNetworkConnectivityConfigPrivateEndpointRule`	帐户管理员删除了专用终结点规则。	`account_id` `network_connectivity_config_id` `rule_id`
`accountsManager`	`updateNetworkConnectivityConfigPrivateEndpointRule`	帐户管理员更新了专用终结点规则。	`account_id` `network_connectivity_config_id` `rule_id` `azure_private_endpoint_rule`

无服务器预算策略事件

以下budgetPolicyCentral事件以帐户级别进行记录，并与无服务器预算策略相关。请参阅无服务器预算策略的属性使用情况。

服务	行动	说明	请求参数
`budgetPolicyCentral`	`createBudgetPolicy`	工作区管理员或计费管理员创建无服务器预算策略。新 `policy_id` 记录在 `response` 列中。	`policy_name`
`budgetPolicyCentral`	`updateBudgetPolicy`	工作区管理员、计费管理员或策略管理器更新无服务器预算策略。	`policy.policy_id` `policy.policy_name`
`budgetPolicyCentral`	`deleteBudgetPolicy`	工作区管理员、计费管理员或策略管理器删除无服务器预算策略。	`policy_id`

清洁室事件

以下 clean-room 事件会在账户层面进行记录。

服务	行动	说明	请求参数
`clean-room`	`createCleanRoom`	Databricks 帐户中的用户使用 UI 或 API 创建新的清理室。	`clean_room_name` `cloud_vendor` `collaborators` `metastore_id` `region` `workspace_id`
`clean-room`	`createCleanRoomAsset`	账户中的用户创建了一个洁净室资产。	`asset` `clean_room_name`
`clean-room`	`createCleanRoomAssetReview`	在你的 Databricks 帐户中，用户通过 UI 或 API 为洁净室资产撰写评审。目前，仅笔记本可评审。	`clean_room_name` `asset_full_name` `notebook_review` `asset_type`
`clean-room`	`createCleanRoomAutoApprovalRule`	Databricks 帐户中的用户使用 UI 或 API 为清理室创建自动审批规则。响应包括在clean_room_events系统表中引用的rule_id。	`clean_room_name` `auto_approval_rule`
`clean-room`	`createCleanRoomOutputCatalog`	Databricks 帐户中的用户使用 UI 或 API 在清洁室中创建输出表。	`clean_room_name` `output_catalog_name` `metastore_id` `workspace_id`
`clean-room`	`deleteCleanRoom`	Databricks 帐户中的用户使用 UI 或 API 删除清洁室。	`clean_room_name` `metastore_id` `workspace_id`
`clean-room`	`deleteCleanRoomAsset`	您的帐户中的用户删除了一个净化车间资产。	`asset_full_name` `asset_type` `clean_room_name`
`clean-room`	`deleteCleanRoomAutoApprovalRule`	Databricks 帐户中的用户使用 UI 或 API 删除清理室的自动审批规则。	`clean_room_name` `rule_id`
`clean-room`	`getCleanRoom`	帐户中的用户使用 UI 或 API 获取有关干净房间的详细信息。	`clean_room_name` `metastore_id` `workspace_id`
`clean-room`	`getCleanRoomAsset`	在您的账户中，用户通过 UI 查看无尘室数据资产的详细信息。	`asset_full_name` `metastore_id` `workspace_id` `asset_type` `clean_room_name` `collaborator_global_metastore_id`
`clean-room`	`listCleanRoomAssets`	用户获取无尘室中的资产列表。	`clean_room_name`
`clean-room`	`listCleanRoomAutoApprovalRules`	在您的 Databricks 帐户中，用户使用 UI 或 API 列出适用于清理室的自动审批规则。	`clean_room_name`
`clean-room`	`listCleanRoomNotebookTaskRuns`	用户获取在干净房间内运行的笔记本任务列表。	`clean_room_name` `notebook_name`
`clean-room`	`listCleanRooms`	用户可以通过工作区 UI 获取所有净室的列表，或者通过 API 获取元存储中所有净室的列表。	`metastore_id` `workspace_id`
`clean-room`	`updateCleanRoom`	帐户中的用户会更新洁净室的详细信息或资产。	`added_assets` `clean_room_name` `owner` `metastore_id` `workspace_id` `updated_assets` `removed_assets`
`clean-room`	`updateCleanRoomAsset`	用户更新帐户中的洁净室资产。	`asset` `clean_room_name`

Unity Catalog 事件

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

以下诊断事件与 Unity Catalog 有关。 Delta Sharing 事件也记录在 unityCatalog 服务下。有关 Delta Sharing 事件，请参阅 Delta Sharing 事件。可以根据事件在工作区级别或帐户级别记录 Unity 目录审核事件。

服务	行动	说明	请求参数
`unityCatalog`	`createMetastore`	帐户管理员创建元存储。	`name` `storage_root` `workspace_id` `metastore_id`
`unityCatalog`	`getMetastore`	帐户管理员请求元存储 ID。	`id` `workspace_id` `metastore_id`
`unityCatalog`	`getMetastoreSummary`	帐户管理员请求有关元存储的详细信息。	`workspace_id` `metastore_id`
`unityCatalog`	`listMetastores`	帐户管理员请求帐户中所有元存储的列表。	`workspace_id`
`unityCatalog`	`updateMetastore`	帐户管理员对元存储进行更新。	`id` `owner` `workspace_id` `metastore_id`
`unityCatalog`	`deleteMetastore`	帐户管理员删除元存储。	`id` `force` `workspace_id` `metastore_id`
`unityCatalog`	`updateMetastoreAssignment`	帐户管理员更新了数据存储的工作区分配。	`workspace_id` `metastore_id` `default_catalog_name`
`unityCatalog`	`createExternalLocation`	帐户管理员创建外部位置。	`name` `skip_validation` `url` `credential_name` `workspace_id` `metastore_id`
`unityCatalog`	`getExternalLocation`	帐户管理员请求有关外部位置的详细信息。	`name_arg` `include_browse` `workspace_id` `metastore_id`
`unityCatalog`	`listExternalLocations`	帐户管理员请求帐户中所有外部位置的列表。	`url` `max_results` `workspace_id` `metastore_id`
`unityCatalog`	`updateExternalLocation`	帐户管理员对外部位置进行更新。	`name_arg` `owner` `workspace_id` `metastore_id`
`unityCatalog`	`deleteExternalLocation`	帐户管理员删除外部位置。	`name_arg` `force` `workspace_id` `metastore_id`
`unityCatalog`	`createCatalog`	用户创建目录。	`name` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`deleteCatalog`	用户删除目录。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`getCatalog`	用户请求有关目录的详细信息。	`name_arg` `dependent` `workspace_id` `metastore_id`
`unityCatalog`	`updateCatalog`	用户更新目录。	`name_arg` `isolation_mode` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`listCatalog`	用户进行调用以列出元存储中的所有目录。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`createSchema`	用户创建架构。	`name` `catalog_name` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`deleteSchema`	用户删除架构。	`full_name_arg` `force` `workspace_id` `metastore_id`
`unityCatalog`	`getSchema`	用户请求有关架构的详细信息。	`full_name_arg` `dependent` `workspace_id` `metastore_id`
`unityCatalog`	`listSchema`	用户请求目录中所有架构的列表。	`catalog_name`
`unityCatalog`	`updateSchema`	用户更新架构。	`full_name_arg` `name` `workspace_id` `metastore_id` `comment`
`unityCatalog`	`createStagingTable`		`name` `catalog_name` `schema_name` `workspace_id` `metastore_id`
`unityCatalog`	`createTable`	用户创建表。请求参数因创建的表的类型而异。	`name` `data_source_format` `catalog_name` `schema_name` `storage_location` `columns` `dry_run` `table_type` `view_dependencies` `view_definition` `sql_path` `comment`
`unityCatalog`	`deleteTable`	用户删除表。	`full_name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`getTable`	用户请求获取有关表格的详细信息。	`include_delta_metadata` `full_name_arg` `dependent` `workspace_id` `metastore_id`
`unityCatalog`	`privilegedGetTable`		`full_name_arg`
`unityCatalog`	`listTables`	用户进行调用以列出架构中的所有表。	`catalog_name` `schema_name` `workspace_id` `metastore_id` `include_browse`
`unityCatalog`	`listTableSummaries`	用户获取元存储中架构和目录的表的摘要数组。	`catalog_name` `schema_name_pattern` `workspace_id` `metastore_id`
`unityCatalog`	`updateTables`	用户对表进行更新。显示的请求参数因更新的表的类型而异。	`full_name_arg` `table_type` `table_constraint_list` `data_source_format` `columns` `dependent` `row_filter` `storage_location` `sql_path` `view_definition` `view_dependencies` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`createStorageCredential`	帐户管理员创建存储凭据。你可能会看到基于云提供商凭据的其他请求参数。	`name` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`listStorageCredentials`	帐户管理员进行调用以列出帐户中的所有存储凭据。	`workspace_id` `metastore_id`
`unityCatalog`	`getStorageCredential`	帐户管理员请求有关存储凭据的详细信息。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`updateStorageCredential`	帐户管理员对存储凭据进行更新。	`name_arg` `owner` `workspace_id` `metastore_id`
`unityCatalog`	`deleteStorageCredential`	帐户管理员删除存储凭据。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`generateTemporaryTableCredential`	每当为表授予临时凭据时记录。可以使用此事件来确定谁查询了什么内容以及查询时间。	`credential_id` `credential_type` `credential_kind` `is_permissions_enforcing_client` `table_full_name` `operation` `table_id` `workspace_id` `table_url` `metastore_id`
`unityCatalog`	`generateTemporaryPathCredential`	每当为路径授予临时凭据时记录。	`url` `operation` `make_path_only_parent` `credential_kind` `fallback_enabled` `workspace_id` `metastore_id`
`unityCatalog`	`checkPathAccess`	每当检查某个给定路径的用户权限时记录。	`path` `fallback_enabled`
`unityCatalog`	`getPermissions`	用户进行调用以获取安全对象的权限详细信息。此调用仅返回显式分配的权限，而不返回继承的权限。	`securable_type` `securable_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`getEffectivePermissions`	用户进行调用以获取安全对象的所有权限详细信息。有效的权限调用会返回显式分配的权限和继承的权限。	`securable_type` `securable_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`updatePermissions`	用户更新对安全对象的权限。	`securable_type` `changes` `securable_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`metadataSnapshot`	用户从以前的表版本查询元数据。	`securables` `include_delta_metadata` `workspace_id` `metastore_id`
`unityCatalog`	`metadataAndPermissionsSnapshot`	用户从以前的表版本查询元数据和权限。	`securables` `include_delta_metadata` `workspace_id` `metastore_id`
`unityCatalog`	`updateMetadataSnapshot`	用户从以前的表版本更新元数据。	`table_list_snapshots` `schema_list_snapshots` `workspace_id` `metastore_id`
`unityCatalog`	`getForeignCredentials`	用户进行调用以获取有关外键的详细信息。	`securables` `workspace_id` `metastore_id`
`unityCatalog`	`getInformationSchema`	用户进行调用以获取有关架构的详细信息。	`table_name` `page_token` `required_column_names` `row_set_type` `required_column_names` `workspace_id` `metastore_id`
`unityCatalog`	`createConstraint`	用户为表创建约束。	`full_name_arg` `constraint` `workspace_id` `metastore_id`
`unityCatalog`	`deleteConstraint`	用户删除表的约束。	`full_name_arg` `constraint` `workspace_id` `metastore_id`
`unityCatalog`	`createPipeline`	用户创建 Unity Catalog 流水线。	`target_catalog_name` `has_workspace_definition` `id` `workspace_id` `metastore_id`
`unityCatalog`	`updatePipeline`	用户更新 Unity Catalog 管道。	`id_arg` `definition_json` `id` `workspace_id` `metastore_id`
`unityCatalog`	`getPipeline`	用户请求有关 Unity Catalog 管道的详细信息。	`id` `workspace_id` `metastore_id`
`unityCatalog`	`deletePipeline`	用户删除 Unity Catalog 管道。	`id` `workspace_id` `metastore_id`
`unityCatalog`	`deleteResourceFailure`	资源删除失败	无
`unityCatalog`	`createVolume`	用户创建 Unity Catalog 卷。	`name` `catalog_name` `schema_name` `volume_type` `storage_location` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`getVolume`	用户进行调用以获取有关 Unity Catalog 卷的信息。	`volume_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`updateVolume`	用户使用 `ALTER VOLUME` 或 `COMMENT ON` 调用更新 Unity 目录卷的元数据。	`volume_full_name` `name` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`deleteVolume`	用户删除 Unity Catalog 卷。	`volume_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`listVolumes`	用户进行调用以获取架构中所有 Unity Catalog 卷的列表。	`catalog_name` `schema_name` `workspace_id` `metastore_id`
`unityCatalog`	`generateTemporaryVolumeCredential`	当用户对卷执行读取或写入操作时，将生成临时凭据。可以使用此事件来确定谁访问了卷以及访问时间。	`volume_id` `volume_full_name` `operation` `volume_storage_location` `credential_id` `credential_type` `credential_kind` `workspace_id` `metastore_id`
`unityCatalog`	`getTagSecurableAssignments`	提取安全对象的标记分配	`securable_type` `securable_full_name` `workspace_id` `metastore_id`
`unityCatalog`	`getTagSubentityAssignments`	提取子实体的标记分配	`securable_type` `securable_full_name` `workspace_id` `metastore_id` `subentity_name`
`unityCatalog`	`UpdateTagSecurableAssignments`	更新安全对象的标记分配	`securable_type` `securable_full_name` `workspace_id` `metastore_id` `changes`
`unityCatalog`	`UpdateTagSubentityAssignments`	更新子实体的标记分配	`securable_type` `securable_full_name` `workspace_id` `metastore_id` `subentity_name` `changes`
`unityCatalog`	`createRegisteredModel`	用户创建了一个在 Unity Catalog 中注册的模型。	`name` `catalog_name` `schema_name` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`getRegisteredModel`	用户进行调用以获取有关 Unity Catalog 已注册模型的信息。	`full_name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`updateRegisteredModel`	用户更新 Unity Catalog 中注册模型的元数据。	`full_name_arg` `name` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`deleteRegisteredModel`	用户删除 Unity Catalog 已注册模型。	`full_name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`listRegisteredModels`	用户进行调用以获取架构中 Unity Catalog 已注册模型的列表，或跨目录和架构列出模型。	`catalog_name` `schema_name` `max_results` `page_token` `workspace_id` `metastore_id`
`unityCatalog`	`createModelVersion`	用户在 Unity Catalog 中创建模型版本。	`catalog_name` `schema_name` `model_name` `source` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`finalizeModelVersion`	在将模型版本文件上传到其存储位置后，用户进行调用以“最终确定”Unity Catalog 模型版本，使其在推理工作流中为只读且可用。	`full_name_arg` `version_arg` `workspace_id` `metastore_id`
`unityCatalog`	`getModelVersion`	用户发出调用，以获取有关模型版本的详细信息。	`full_name_arg` `version_arg` `workspace_id` `metastore_id`
`unityCatalog`	`getModelVersionByAlias`	用户使用别名调用以获取有关模型版本的详细信息。	`full_name_arg` `include_aliases` `alias_arg` `workspace_id` `metastore_id`
`unityCatalog`	`updateModelVersion`	用户更新模型版本的元数据。	`full_name_arg` `version_arg` `name` `owner` `comment` `workspace_id` `metastore_id`
`unityCatalog`	`deleteModelVersion`	用户删除模型版本。	`full_name_arg` `version_arg` `workspace_id` `metastore_id`
`unityCatalog`	`listModelVersions`	用户进行调用以获取已注册模型中的 Unity Catalog 模型版本的列表。	`catalog_name` `schema_name` `model_name` `max_results` `page_token` `workspace_id` `metastore_id`
`unityCatalog`	`generateTemporaryModelVersionCredential`	当用户在模型版本上执行写入（在初始模型版本创建期间）或读取（在最终确定模型版本后）时，会生成临时凭据。可使用此事件来确定谁在何时访问了模型版本。	`full_name_arg` `version_arg` `operation` `model_version_url` `credential_id` `credential_type` `credential_kind` `workspace_id` `metastore_id`
`unityCatalog`	`setRegisteredModelAlias`	用户在 Unity Catalog 已注册模型上设置别名。	`full_name_arg` `alias_arg` `version`
`unityCatalog`	`deleteRegisteredModelAlias`	用户在 Unity Catalog 已注册模型上删除别名。	`full_name_arg` `alias_arg`
`unityCatalog`	`getModelVersionByAlias`	用户通过别名获取 Unity Catalog 模型版本。	`full_name_arg` `alias_arg`
`unityCatalog`	`createConnection`	新建了一个新的国外连接。	`name` `connection_type` `workspace_id` `metastore_id`
`unityCatalog`	`deleteConnection`	删除了外部连接。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`getConnection`	检索了外部连接。	`name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`updateConnection`	更新了外部连接。	`name_arg` `owner` `workspace_id` `metastore_id`
`unityCatalog`	`listConnections`	列出了元存储中的外部连接。	`workspace_id` `metastore_id`
`unityCatalog`	`createFunction`	用户创建新的函数。	`function_info` `workspace_id` `metastore_id`
`unityCatalog`	`updateFunction`	用户更新函数。	`full_name_arg` `owner` `workspace_id` `metastore_id`
`unityCatalog`	`listFunctions`	用户请求特定父目录或架构中所有函数的列表。	`catalog_name` `schema_name` `include_browse` `workspace_id` `metastore_id`
`unityCatalog`	`getFunction`	用户从父目录或架构请求函数。	`full_name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`deleteFunction`	用户从父目录或架构请求函数。	`full_name_arg` `workspace_id` `metastore_id`
`unityCatalog`	`createShareMarketplaceListingLink`		`links_infos` `metastore_id`
`unityCatalog`	`deleteShareMarketplaceListingLink`		`links_infos` `metastore_id`
`unityCatalog`	`generateTemporaryServiceCredential`	生成临时凭据以从 Databricks 访问云服务帐户。	`credential_id` `credential_type` `credential_kind` `workspace_id` `metastore_id`
`unityCatalog`	`UpdateWorkspaceBindings`	元存储管理员或对象所有者更新目录、外部位置或存储凭据的工作区绑定。	`securable_type` `securable_full_name` `add`：仅在分配绑定时记录。包括工作区 ID 列表和绑定类型。 `remove`：仅在取消分配绑定时记录。包括受影响工作区的工作区 ID。 `workspace_id` `metastore_id`

备注

此服务无法通过 Azure 诊断设置使用。启用审核日志系统表以访问这些事件。

Delta Sharing事件分为两个部分：数据提供者帐户中记录的事件和数据接收者帐户中记录的事件。

若要了解如何使用审核日志监视 Delta 共享事件，请参阅审核和监视数据共享。

以下审核日志事件记录在提供者帐户中。接收者执行的操作以 deltaSharing 前缀开头。其中每个日志还包括 request_params.metastore_id、管理共享数据的元存储，以及发起该活动的用户的 ID userIdentity.email。

服务	行动	说明	请求参数
`unityCatalog`	`deltaSharingListShares`	数据接收者请求股份列表。	`options`：此请求提供的分页选项。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingGetShare`	数据接收者请求有关股票份额的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListSchemas`	数据接收者请求共享架构的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `options`：此请求提供的分页选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListAllTables`	数据接收者请求所有共享表的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListTables`	数据接收者请求共享表的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `options`：此请求提供的分页选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingGetTableMetadata`	数据接收者请求有关表元数据的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `predicateHints`：查询中包含的谓词。 `limitHints`：要返回的最大行数。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingGetTableVersion`	数据接收者请求有关表版本的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingQueryTable`	当数据接收者查询共享表时记录。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `predicateHints`：查询中包含的谓词。 `limitHints`：要返回的最大行数。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingQueryTableChanges`	当数据接收者查询表的更改数据时记录。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `cdf_options`：更改数据馈送选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingQueriedTable`	当数据接收者获取对其查询的响应后记录。该 `response.result` 字段包含有关收件人查询的详细信息（请参阅审核和监视数据共享）	`recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingQueriedTableChanges`	当数据接收者获取对其查询的响应后记录。该 `response.result` 字段包含有关收件人查询的详细信息（请参阅审核和监视数据共享）。	`recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListNotebookFiles`	数据接收者请求共享笔记本文件的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingQueryNotebookFile`	数据接收者查询共享笔记本文件。	`file_name`：笔记本文件的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListFunctions`	数据接收者请求父架构中函数的列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListAllFunctions`	数据接收者请求所有共享函数的列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListFunctionVersions`	数据接收者请求函数版本列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `function`：函数的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListVolumes`	数据接收者请求架构中共享卷的列表。	`share`：共享的名称。 `schema`：卷的父架构。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`deltaSharingListAllVolumes`	数据接收者请求所有共享卷。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`updateMetastore`	提供者更新其元存储。	`delta_sharing_scope`：值可以是 `INTERNAL` 或 `INTERNAL_AND_EXTERNAL`。 `delta_sharing_recipient_token_lifetime_in_seconds`：如果存在，则指示收件人令牌生存期已更新。
`unityCatalog`	`createRecipient`	提供者创建数据接收者。	`name`：收件人的姓名。 `comment`：收件人的注释。 `ip_access_list.allowed_ip_addresses:` 接收者 IP 地址允许列表。
`unityCatalog`	`deleteRecipient`	提供者删除数据接收者。	`name`：收件人的姓名。
`unityCatalog`	`getRecipient`	提供者请求有关数据接收者的详细信息。	`name`：收件人的姓名。
`unityCatalog`	`listRecipients`	提供者请求其所有数据接收者的列表。	无
`unityCatalog`	`rotateRecipientToken`	提供者轮换接收者的令牌。	`name`：收件人的姓名。 `comment`：旋转命令中给出的注释。
`unityCatalog`	`updateRecipient`	提供者更新数据接收者的属性。	`name`：收件人的姓名。 `updates`：已从共享添加或删除的收件人属性的 JSON 表示形式。
`unityCatalog`	`createShare`	提供者更新数据接收者的属性。	`name`：共享的名称。 `comment`：共享的注释。
`unityCatalog`	`deleteShare`	提供者更新数据接收者的属性。	`name`：共享的名称。
`unityCatalog`	`getShare`	提供者请求有关共享的详细信息。	`name`：共享的名称。 `include_shared_objects`：共享的表名称是否包含在请求中。
`unityCatalog`	`updateShare`	提供者添加或移除共享中的数据资产。	`name`：共享的名称。 `updates`：表示数据资产的 JSON 格式，这些数据资产被添加到共享中或从共享中移除。每一项都包含 `action`（添加或移除）、`name`（表的实际名称）、`shared_as`（资产共享时的名称，如果与实际名称不同），以及 `partition_specification`（如果提供了分区规范）。
`unityCatalog`	`listShares`	提供者请求一份他们股份的列表。	无
`unityCatalog`	`getSharePermissions`	提供者请求有关共享权限的详细信息。	`name`：共享的名称。
`unityCatalog`	`updateSharePermissions`	提供者更新共享的权限。	`name`：共享的名称。 `changes`：已更新权限的 JSON 表示形式。每项更改都包含 `principal`（向其授予或撤消权限的用户或组）、`add`（已授予的权限列表）、`remove`（已撤消的权限列表）。
`unityCatalog`	`getRecipientSharePermissions`	提供者请求有关接收者共享权限的详细信息。	`name`：共享的名称。
`unityCatalog`	`getActivationUrlInfo`	提供者请求有关其激活链接上活动的详细信息。	`recipient_name`：打开激活 URL 的收件人的名称。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则值为 `true`；如果未拒绝请求，则值为 `false`。 `sourceIPaddress` 是收件人 IP 地址。
`unityCatalog`	`generateTemporaryVolumeCredential`	将为接收者生成临时凭据以访问共享卷。	`share_name`：收件人通过其提出请求的共享名称。 `share_id`：共享的 ID。 `share_owner`：份额的所有者。 `recipient_name`：请求凭据的收件人的名称。 `recipient_id`：收件人的 ID。 `volume_full_name`：卷的完整 3 级名称。 `volume_id`：卷的 ID。 `volume_storage_location`：卷根的云路径。 `operation`：`READ_VOLUME` 或 `WRITE_VOLUME`。对于卷共享，仅支持 `READ_VOLUME`。 `credential_id`：凭据的 ID。 `credential_type`：凭据的类型。值为 `StorageCredential` 或 `ServiceCredential`。 `credential_kind`：用于授权访问的方法。 `workspace_id`：当请求针对共享卷时，值始终为 `0`。
`unityCatalog`	`generateTemporaryTableCredential`	将为接收者生成临时凭据以访问共享表。	`share_name`：收件人通过其提出请求的共享名称。 `share_id`：共享的 ID。 `share_owner`：份额的所有者。 `recipient_name`：请求凭据的收件人的名称。 `recipient_id`：收件人的 ID。 `table_full_name`：卷的完整 3 级名称。 `table_id`：表的 ID。 `table_url`：表根的云路径。 `operation`：`READ` 或 `READ_WRITE`。 `credential_id`：凭据的 ID。 `credential_type`：凭据的类型。值为 `StorageCredential` 或 `ServiceCredential`。 `credential_kind`：用于授权访问的方法。 `workspace_id`：当请求用于共享表时，值始终为`0`。

以下事件记录在数据接收者的帐户中。这些事件记录接收者对共享数据和 AI 资产的访问，以及与提供者管理关联的事件。其中每个事件还包括以下请求参数：

recipient_name：数据提供程序系统中接收者的名称。
metastore_id：数据提供程序系统中元存储的名称。
sourceIPAddress：发起请求的 IP 地址。

服务	行动	说明	请求参数
`unityCatalog`	`deltaSharingProxyGetTableVersion`	数据接收者请求有关共享表版本的详细信息。	`share`：共享的名称。 `schema`：表的父架构的名称。 `name`：表的名称。
`unityCatalog`	`deltaSharingProxyGetTableMetadata`	数据接收者请求有关表共享表的元数据的详细信息。	`share`：共享的名称。 `schema`：表的父架构的名称。 `name`：表的名称。
`unityCatalog`	`deltaSharingProxyQueryTable`	数据接收者查询共享表。	`share`：共享的名称。 `schema`：表的父架构的名称。 `name`：表的名称。 `limitHints`：要返回的最大行数。 `predicateHints`：查询中包含的谓词。 `version`：表版本（如果启用了更改数据馈送）。
`unityCatalog`	`deltaSharingProxyQueryTableChanges`	数据接收者查询表的更改数据。	`share`：共享的名称。 `schema`：表的父架构的名称。 `name`：表的名称。 `cdf_options`：更改数据馈送选项。
`unityCatalog`	`createProvider`	数据接收者创建提供者对象。	`name`：供应商的名称。 `comment`：提供者的注释。
`unityCatalog`	`updateProvider`	数据接收者更新提供者对象。	`name`：供应商的名称。 `updates`：在共享中添加或删除的提供程序属性的 JSON 表示形式。每项都包含 `action`（添加或移除），并且可以包含 `name`（新的提供者名称）、`owner`（新的所有者）和 `comment`。
`unityCatalog`	`deleteProvider`	数据接收者删除提供者对象。	`name`：供应商的名称。
`unityCatalog`	`getProvider`	数据接收者请求有关提供者对象的详细信息。	`name`：供应商的名称。
`unityCatalog`	`listProviders`	数据接收者请求提供者列表。	无
`unityCatalog`	`activateProvider`	数据接收者激活提供者对象。	`name`：供应商的名称。
`unityCatalog`	`listProviderShares`	数据接收者请求提供者共享的列表。	`name`：供应商的名称。

其他安全监视事件

对于经典计算平面中的 Azure Databricks 计算资源（例如用于群集和专业或经典 SQL 仓库的 VM），以下功能支持启用额外的监控代理：

文件完整性监视事件

以下 capsule8-alerts-dataplane 事件在工作区级别记录。

服务	行动	说明	请求参数
`capsule8-alerts-dataplane`	`Heartbeat`	用于确认监视器已打开的常规事件。当前每 10 分钟运行一次。	`instanceId`
`capsule8-alerts-dataplane`	`Memory Marked Executable`	内存通常标记为可执行文件，以便在应用程序被攻击时允许执行恶意代码。当程序将堆或堆栈内存权限设置为可执行文件时发出警报。这可能会导致某些应用程序服务器出现误报。	`instanceId`
`capsule8-alerts-dataplane`	`File Integrity Monitor`	监视重要系统文件的完整性。对这些文件进行任何未授权更改时发出警报。 Databricks 在映像上定义特定的系统路径集，这组路径可能会随时间而更改。	`instanceId`
`capsule8-alerts-dataplane`	`Systemd Unit File Modified`	对系统单元的更改可能导致放松或禁用安全控制，或者安装恶意服务。每当 `systemd` 单元文件被除 `systemctl` 以外的程序修改时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Repeated Program Crashes`	重复的程序崩溃可能表明攻击者正在尝试攻击内存损坏漏洞，或者受影响的应用程序中存在稳定性问题。当单个程序因分段错误崩溃超过 5 次时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Userfaultfd Usage`	由于容器通常是静态工作负载，此警报可能表明攻击者已入侵容器，并正在尝试安装和运行后门程序。当在 30 分钟内创建或修改的文件之后在容器内执行时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`New File Executed in Container`	内存通常标记为可执行文件，以便在应用程序被攻击时允许执行恶意代码。当程序将堆或堆栈内存权限设置为可执行文件时发出警报。这可能会导致某些应用程序服务器出现误报。	`instanceId`
`capsule8-alerts-dataplane`	`Suspicious Interactive Shell`	交互式 shell 在新式生产基础结构中很少出现。使用常用于创建反向 shell 的参数启动交互式 shell 时会发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Command Logging Evasion`	逃避命令日志记录是攻击者的常见做法，但也可能表明合法用户正在执行未经授权的操作或试图逃避策略。在检测到对用户命令历史记录日志记录进行更改时发出警报，这指示用户正在尝试规避命令日志记录。	`instanceId`
`capsule8-alerts-dataplane`	`BPF Program Executed`	检测一些类型的内核后门程序。加载新的 Berkeley 数据包筛选器 (BPF) 程序可能指示攻击者正在加载基于 BPF 的根工具包，以获得持久性并避免检测。如果进程已是正在进行的事件的一部分，则当进程加载新的特权 BPF 程序时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Kernel Module Loaded`	攻击者通常会加载恶意内核模块 (rootkit)，从而逃避检测并在被入侵的节点上保持持久性。加载内核模块（如果程序已是正在进行的事件的一部分）时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Suspicious Program Name Executed-Space After File`	攻击者可能会创建或重命名恶意二进制文件，从而在名称末尾包含空格以模拟合法的系统程序或服务。在执行程序名称后面带有空格的程序时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Illegal Elevation Of Privileges`	内核特权提升攻击通常使无特权用户无需通过特权更改的标准入口即可获得根特权。当程序尝试通过异常方式提升特权时发出警报。这会在具有大量工作负载的节点上发出误报警报。	`instanceId`
`capsule8-alerts-dataplane`	`Kernel Exploit`	常规程序无法访问内部内核函数，如果调用，则强烈表明已执行内核攻击，并且攻击者已完全控制节点。当内核函数意外返回到用户空间时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Processor-Level Protections Disabled`	SMEP 和 SMAP 是处理器级保护，会增加内核攻击成功的难度，禁用这些限制是内核攻击中常见的早期步骤。当程序篡改内核 SMEP/SMAP 配置时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Container Escape via Kernel Exploitation`	当程序使用容器转义攻击中常用的内核函数时发出警报，表明攻击者正在将特权从容器访问提升到节点访问。	`instanceId`
`capsule8-alerts-dataplane`	`Privileged Container Launched`	特权容器可直接访问主机资源，导致在遭到入侵时产生更大的影响。当启动特权容器时，如果该容器不是已知的特权镜像，例如 kube-proxy，则会发出警报。这可能会为合法特权容器发出不需要的警报。	`instanceId`
`capsule8-alerts-dataplane`	`Userland Container Escape`	许多容器逃逸会强制主机执行容器内的二进制文件，从而使攻击者获得对受影响节点的完全控制。从容器外部执行容器创建的文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`AppArmor Disabled In Kernel`	某些 AppArmor 属性的修改只能在内核中发生，表明 AppArmor 已被内核攻击或 rootkit 禁用。当检测到 AppArmor 状态与传感器启动时所识别的 AppArmor 配置不一致时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`AppArmor Profile Modified`	攻击者可能会尝试禁用 AppArmor 配置文件的强制执行，作为逃避检测的一部分。如果修改 AppArmor 配置文件的命令不是由用户在 SSH 会话中执行的，则在执行该命令时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Boot Files Modified`	如果受信任的源（例如，包管理器或配置管理工具）未执行，修改启动文件可能表明攻击者正在修改内核或其选项以获取对主机的永久访问权限。在对 `/boot` 中的文件文件进行更改时发出警报，这指示安装新的内核或启动配置。	`instanceId`
`capsule8-alerts-dataplane`	`Log Files Deleted`	日志管理工具未执行的日志删除可能表明攻击者正在尝试删除入侵指标。在删除系统日志文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`New File Executed`	从系统更新程序以外的源新建的文件可能是后门程序、内核攻击或攻击链的一部分。然后，执行在 30 分钟内创建或修改的文件（系统更新程序创建的文件除外）时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Root Certificate Store Modified`	修改根证书存储可能表明已安装恶意证书颁发机构，从而允许拦截网络流量或绕过代码签名验证。在系统 CA 证书存储发生更改时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Setuid/Setgid Bit Set On File`	设置`setuid/setgid`位可用于为节点上的特权提升提供永久性方法。在使用系统调用`setuid`系列的文件上设置`setgid`或`chmod`位时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Hidden File Created`	攻击者通常会创建隐藏文件，以掩盖被入侵主机上的工具和有效负载。当与正在进行的事件关联的进程创建隐藏文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Modification Of Common System Utilities`	每当运行这些实用工具时，攻击者都可能会修改系统实用工具以执行恶意有效负载。在未经授权的进程修改常见系统实用工具时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Network Service Scanner Executed`	攻击者或恶意用户可能会使用这些程序调查连接的网络，以查找要入侵的其他节点。在执行常见网络扫描程序工具时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Network Service Created`	攻击者可能会启动新的网络服务，从而在入侵后轻松访问主机。如果程序已是正在进行的事件的一部分，则当程序启动新的网络服务时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Network Sniffing Program Executed`	攻击者或恶意用户可能会执行网络探查命令以捕获凭据、个人身份信息 (PII) 或其他敏感信息。在执行支持网络捕获的程序时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Remote File Copy Detected`	使用文件传输工具可能表明攻击者正在尝试将工具集移动到其他主机或将数据泄露到远程系统。当执行与远程文件复制关联的程序（如果该程序已是正在进行的事件的一部分）时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Unusual Outbound Connection Detected`	命令和控制通道和加密币矿工通常会在异常端口上新建出站网络连接。当程序在不常用端口上启动新连接时发出警报（如果程序已是正在进行的事件的一部分）。	`instanceId`
`capsule8-alerts-dataplane`	`Data Archived Via Program`	获取对系统的访问权限后，攻击者可能会创建文件压缩存档以减小数据大小用于泄漏。如果数据压缩程序已是正在进行的事件的一部分，则在执行数据压缩程序时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Process Injection`	使用进程注入技术通常表明用户正在调试程序，但也可能表明攻击者正在从其他进程中读取机密或将代码注入其他进程。当程序使用 `ptrace`（调试）机制与其他进程交互时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Account Enumeration Via Program`	攻击者通常会使用帐户枚举程序以确定其访问级别，并查看其他用户当前是否已登录到节点。当执行与帐户枚举关联的程序时发出警报（如果该程序已是正在进行的事件的一部分）。	`instanceId`
`capsule8-alerts-dataplane`	`File and Directory Discovery Via Program`	浏览文件系统是攻击者在攻击后常见的行为，以查找所需的凭据和数据。当执行与文件和目录枚举关联的程序时发出警报（如果该程序已是正在进行的事件的一部分）。	`instanceId`
`capsule8-alerts-dataplane`	`Network Configuration Enumeration Via Program`	攻击者可以询问本地网络并路由信息，从而在横向移动前确定相邻主机和网络。当执行与网络配置枚举关联的程序时发出警报（如果该程序已是正在进行的事件的一部分）。	`instanceId`
`capsule8-alerts-dataplane`	`Process Enumeration Via Program`	攻击者通常会列出正在运行的程序，从而确定节点的用途以及是否有任何安全或监视工具。当执行与进程枚举关联的程序时发出警报（如果该程序已是正在进行的事件的一部分）。	`instanceId`
`capsule8-alerts-dataplane`	`System Information Enumeration Via Program`	攻击者通常执行系统枚举命令以确定 Linux 内核和发行版本和功能，通常用于确定节点是否受特定漏洞的影响。当执行与系统信息枚举关联的程序（如果程序已是正在进行的事件的一部分）时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Scheduled Tasks Modified Via Program`	修改计划任务是在被入侵的节点上建立持久性的常用方法。在使用 `crontab`、`at` 或 `batch` 命令修改计划任务配置时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Systemctl Usage Detected`	对系统单元的更改可能导致放松或禁用安全控制，或者安装恶意服务。当使用 `systemctl` 命令修改系统单元时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Execution Of su Command`	显式升级到根用户会降低将特权活动关联到特定用户的能力。在执行 `su` 命令时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Execution Of sudo Command`	在执行 `sudo` 命令时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Command History Cleared`	删除历史记录文件并不常见，通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。在删除命令行历史记录文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`New System User Added`	攻击者可能会向主机新增用户，从而提供可靠的访问方法。如果系统更新程序未添加新用户实体，则在向本地帐户管理文件 `/etc/passwd` 添加新用户实体时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`Password Database Modification`	攻击者可以直接修改与标识相关的文件，从而将新用户添加到系统。在与更新现有用户信息无关的程序修改与用户密码相关的文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`SSH Authorized Keys Modification`	新增 SSH 公钥是获取对被入侵主机的持久访问权限的常用方法。如果程序已是正在进行的事件的一部分，则会在观察到尝试写入用户的 SSH `authorized_keys` 文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Account Created Via CLI`	在被入侵的节点上建立持久性时，攻击者通常会新增用户。当标识管理程序由包管理器以外的程序执行时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`User Configuration Changes`	删除历史记录文件并不常见，通常由隐藏活动的攻击者或打算逃避审核控制的合法用户执行。在删除命令行历史记录文件时发出警报。	`instanceId`
`capsule8-alerts-dataplane`	`New System User Added`	用户个人资料和配置文件经常被修改用于持久化，为了在用户登录时执行程序。当`.bash_profile`和`bashrc`（以及相关文件）由系统更新工具以外的程序修改时发出警报。	`instanceId`

防病毒监视事件

备注

这些审核日志中的responseJSON 对象始终具有包含一行原始扫描结果的result字段。每个扫描结果通常由多个审核日志记录表示，每个记录对应原始扫描输出的每一行。有关此文件中可能显示的内容的详细信息，请参阅以下第三方文档。

以下 clamAVScanService-dataplane 事件在工作区级别记录。

服务	行动	说明	请求参数
`clamAVScanService-dataplane`	`clamAVScanAction`	防病毒监视执行扫描。将为原始扫描输出的每一行生成日志。	`instanceId`

弃用的日志事件

Databricks 已弃用以下 databrickssql 诊断事件：

createAlertDestination（现在为 createNotificationDestination）
deleteAlertDestination（现在为 deleteNotificationDestination）
updateAlertDestination（现在为 updateNotificationDestination）
muteAlert
unmuteAlert

SQL 端点日志

如果使用弃用的 SQL 终结点 API（SQL 仓库之前的名称）创建 SQL 仓库，则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。除了名称，这些事件与 SQL 仓库事件均相同。若要查看这些事件的说明和请求参数，请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括：

changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig

通过

诊断日志参考

诊断日志服务

工作区级服务

帐户级服务

其他安全监视服务

诊断日志示例架构

诊断日志架构注意事项

帐户事件

AI/BI 数据面板事件

AI/BI Genie 事件

警报事件

群集事件

群集库事件

群集策略事件

Databricks SQL 事件

数据监视事件

DBFS 事件

DBFS API 事件

DBFS 操作事件

Delta 管道事件

特征存储事件

文件事件

Genie 事件

Git 凭据事件

全局初始化脚本事件

群组事件

IAM 角色事件

引入事件

实例池事件

作业事件

世系跟踪事件

市场使用者事件

市场提供者事件

包含 ACL 事件的 MLflow 项目

MLflow 试验事件

MLflow 模型注册表事件

模型服务事件

笔记本事件

Partner Connect 活动

预测性优化事件

远程历史记录服务事件

Git 文件夹事件

机密事件

SQL 表访问事件

SSH 事件

Uniform Iceberg REST API 事件

矢量搜索事件

Webhook 事件

Web 终端事件

工作区事件

Databricks Apps 事件

帐户访问控制事件

计费使用量事件

帐户级别帐户事件

帐户管理事件

无服务器预算策略事件

清洁室事件

Unity Catalog 事件

Delta Sharing 事件

Delta Sharing 提供者事件

Delta Sharing 接收者事件

其他安全监视事件

文件完整性监视事件

防病毒监视事件

弃用的日志事件

SQL 端点日志

反馈

其他资源