诊断日志参考

注意

此功能需要高级计划

本文提供了审核日志服务和事件的综合参考。 这些服务的可用性取决于你如何访问日志:

  • Azure Monitor的诊断设置服务不会记录所有这些服务。 Azure诊断设置上不可用的服务会相应地进行标记。
  • 工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure诊断日志不包括帐户级事件。

注意

Azure Databricks保留最多 1 年的审核日志副本,以便进行安全和欺诈分析。

工作区级事件

以下服务记录工作区级别的审核事件。

身份验证事件

以下 accounts 事件与用户身份验证相关。

service_name 操作名称 说明 请求参数
accounts accountLoginCodeAuthentication 对用户帐户登录代码进行身份验证。
  • user
accounts aadBrowserLogin 用户使用Microsoft Entra ID浏览器工作流登录到 Databricks。
  • user
accounts aadTokenLogin 用户通过 Microsoft Entra ID 令牌登录到 Databricks。
  • user
accounts jwtLogin 用户使用 JWT 登录到 Databricks。
  • user
  • authenticationMethod
accounts login 用户登录到工作区。
  • user
  • authenticationMethod
accounts logout 用户从工作区中注销。
  • user
accounts oidcTokenAuthorization 通过通用 OIDC/OAuth 令牌授权 API 调用时。
  • user
  • authenticationMethod
accounts passwordVerifyAuthentication
  • user
accounts tokenLogin 用户使用令牌登录到 Databricks。
  • tokenId
  • user
  • authenticationMethod
accounts workspaceLoginCodeAuthentication 对用户的工作区范围的登录代码进行身份验证。
  • user
  • authenticationMethod

用户和组管理事件

以下 accounts 事件与用户和组管理相关。

service_name 操作名称 说明 请求参数
accounts activateUser 用户在被停用后重新被激活。 请参阅停用工作区中的用户
  • targetUserName
  • endpoint
  • targetUserId
accounts add 用户将添加到Azure Databricks工作区。
  • targetUserName
  • endpoint
  • targetUserId
accounts addPrincipalToGroup 用户已添加到工作区级别组。
  • targetGroupId
  • endpoint
  • targetUserId
  • targetGroupName
  • groupMembershipType
  • targetUserName
accounts changeDatabricksSqlAcl 更改用户的 Databricks SQL 权限。
  • shardName
  • targetUserId
  • resourceId
  • aclPermissionSet
accounts changeDatabricksWorkspaceAcl 对工作区的权限已发生更改。
  • shardName
  • targetUserId
  • resourceId
  • aclPermissionSet
accounts changeServicePrincipalAcls 当服务主体的权限被更改时。
  • shardName
  • targetServicePrincipal
  • resourceId
  • aclPermissionSet
accounts createGroup 已创建工作区级别组。
  • endpoint
  • targetUserId
  • targetUserName
accounts deactivateUser 在工作区中停用用户。 请参阅停用工作区中的用户
  • targetUserName
  • endpoint
  • targetUserId
accounts delete 用户将从Azure Databricks工作区中删除。
  • targetUserId
  • targetUserName
  • endpoint
accounts removeAdmin 用户被撤销工作区管理员权限。
  • targetUserName
  • endpoint
  • targetUserId
accounts removeGroup 已从工作区中移除一个组。
  • targetGroupId
  • targetGroupName
  • endpoint
accounts removePrincipalFromGroup 已从组中移除用户。
  • targetGroupId
  • endpoint
  • targetUserId
  • targetGroupName
  • groupMembershipType
  • targetUserName
accounts setAdmin 用户被授予帐户管理员权限。
  • endpoint
  • targetUserName
  • targetUserId
accounts updateUser 对用户的帐户进行了更改。
  • endpoint
  • targetUserName
  • targetUserId
  • targetUserExternalId
accounts validateEmail 当用户在创建帐户后验证其电子邮件时。
  • endpoint
  • targetUserName
  • targetUserId

令牌管理事件

以下 accounts 事件与令牌管理相关。

service_name 操作名称 说明 请求参数
accounts changeDbTokenAcl 对访问令牌的权限已更改。
  • shardName
  • targetUserId
  • resourceId
  • aclPermissionSet
accounts changeDbTokenState Databricks 访问令牌已禁用。
  • tokenHash
  • tokenState
  • userId
accounts garbageCollectDbToken 用户对过期的令牌运行垃圾回收命令。
  • tokenExpirationTime
  • tokenClientId
  • userId
  • tokenCreationTime
  • tokenFirstAccessed
  • tokenHash
accounts generateDbToken 当某人从“用户设置”生成令牌时,或者当服务生成令牌时。
  • tokenExpirationTime
  • tokenCreatedBy
  • tokenHash
  • userId
accounts reachMaxQuotaDbToken 当当前未过期的令牌数超过令牌配额时。
accounts revokeDbToken 用户的令牌被移除出工作区。 可以在用户从 Databricks 帐户中被移除时触发。
  • userId
  • tokenHash

IP 访问列表事件

以下 accounts 事件与 IP 访问列表相关。

service_name 操作名称 说明 请求参数
accounts createIpAccessList IP 访问列表已添加到工作区。
  • ipAccessListId
  • userId
accounts deleteIpAccessList 已从工作区中删除 IP 访问列表。
  • ipAccessListId
  • userId
accounts IpAccessDenied 用户尝试通过被拒绝的 IP 连接到服务。
  • path
  • user
  • userId
accounts ipAccessListQuotaExceeded
  • userId
accounts updateIpAccessList IP 访问列表已发生更改。
  • ipAccessListId
  • userId

联合策略事件

以下 accounts 事件与联合策略相关。

IAM 角色事件

以下iamRole事件在工作区级别记录。

service_name 操作名称 说明 请求参数
iamRole changeIamRoleAcl 工作区管理员更改 IAM 角色的权限。
  • targetUserId
  • shardName
  • resourceId
  • aclPermissionSet

AI/BI 仪表板事件

以下dashboards事件在工作区级别记录。 此服务包括与 AI/BI 仪表板相关的事件。

service_name 操作名称 说明 请求参数
dashboards getDashboard 用户通过以下方式访问仪表板的草稿版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 只有工作区用户可以访问仪表板的草稿版本。
  • dashboard_id
dashboards getPublishedDashboard 用户通过以下方式访问仪表板的已发布版本:在 UI 中查看版本,或使用 API 请求仪表板定义。 包括工作区用户和帐户用户的活动。 不包括使用计划电子邮件接收仪表板的 PDF 快照。
  • dashboard_id
  • credentials_embedded
dashboards executeQuery 用户从仪表板执行查询。
  • dashboard_id
  • statement_id
  • details
dashboards cancelQuery 用户从仪表板取消查询。
  • dashboard_id
  • statement_id
dashboards getQueryResult 用户从仪表板接收查询结果。
  • dashboard_id
  • statement_id
dashboards triggerDashboardSnapshot 用户下载仪表板的 PDF 快照。
  • dashboard_id
  • name
dashboards sendDashboardSnapshot 仪表板的 PDF 快照通过计划发送的电子邮件或通知渠道发送。
请求参数值取决于接收者的类型。 对于 Databricks 通知目标,仅显示 destination_id。 对于 Databricks 用户,将显示订阅者的用户 ID 和电子邮件地址。 如果接收者是电子邮件地址,则仅显示电子邮件地址。
  • dashboard_id
  • subscriber_destination_id
  • subscriber_user_details.user_id
  • subscriber_user_details.email_address
dashboards getDashboardDetails 用户访问仪表板草稿的详细信息,例如数据集和小组件。 当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时,始终会发出 getDashboardDetails
  • dashboard_id
dashboards createDashboard 用户使用 UI 或 API 创建新的 AI/BI 仪表板。
  • dashboard_id
dashboards updateDashboard 用户使用 UI 或 API 更新 AI/BI 仪表板。
  • dashboard_id
dashboards cloneDashboard 用户克隆 AI/BI 仪表板。
  • source_dashboard_id
  • new_dashboard_id
dashboards publishDashboard 用户使用 UI 或 API 发布具有共享或单个数据权限的 AI/BI 仪表板。
  • dashboard_id
  • credentials_embedded
  • warehouse_id
dashboards unpublishDashboard 用户使用 UI 或 API 撤销已发布的 AI/BI 仪表板。
  • dashboard_id
dashboards trashDashboard 用户使用仪表板 UI 或 Lakeview API 命令将仪表板移动到回收站。 仅当通过这些通道进行,而不是针对工作区操作时,才会记录此事件。 若要审核工作区操作,请参阅 工作区事件
  • dashboard_id
dashboards restoreDashboard 用户使用仪表板 UI 或 Lakeview API 命令从回收站还原 AI/BI 仪表板。 仅当通过这些通道进行,而不是针对工作区操作时,才会记录此事件。 若要审核工作区操作,请参阅 工作区事件
  • dashboard_id
dashboards migrateDashboard 用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。
  • source_dashboard_id
  • new_dashboard_id
  • update_parameter_syntax
dashboards createSchedule 用户创建电子邮件订阅计划。
  • dashboard_id
  • schedule_id
  • schedule
dashboards updateSchedule 用户对 AI/BI 仪表板的时间表进行了更新。
  • dashboard_id
  • schedule_id
dashboards deleteSchedule 用户删除 AI/BI 仪表板的排程。
  • dashboard_id
  • schedule_id
dashboards createSubscription 用户将一个电子邮件地址设置为 AI/BI 仪表板的计划接收方。
  • dashboard_id
  • schedule_id
  • schedule
dashboards deleteSubscription 用户从 AI/BI 仪表板的计划中删除电子邮件目的地。
  • dashboard_id
  • schedule_id

警报事件

重要

此功能在 Beta 版中。 工作区管理员可以从 预览 页控制对此功能的访问。 请参阅 Manage Azure Databricks 预览版

以下alerts事件在工作区级别记录。 此服务包括与 警报相关的事件。

注意

此服务不记录旧警报事件。 遗留的警报事件记录在 databrickssql 服务下。

service_name 操作名称 说明 请求参数
alerts apiCreateAlert 用户使用警报 V2 API 创建警报。
  • alert.id
alerts apiGetAlert 用户使用警报 V2 API 获取警报。
  • alert_id
alerts apiTrashAlert 用户使用警报 V2 API 删除警报。
  • alert_id
alerts apiUpdateAlert 用户使用警报 V2 API 更新警报。
  • alert.id
alerts cloneAlert 用户克隆现有警报。
  • alert_id
alerts createAlert 用户创建新的警报。
  • alert_id
alerts getAlert 用户使用 UI 获取有关警报的信息。
  • alert_id
alerts previewAlertEvaluate 测试条件功能返回警报测试结果。
  • execution_session_id
alerts previewAlertExecute 用户使用 测试条件 功能预览和测试其警报。
  • warehouse_id
alerts runNowAlert 用户单击“ 立即运行 ”按钮以立即运行警报查询。
  • alert_id
alerts updateAlert 用户更新警报的详细信息。
  • alert.id

群集事件

以下cluster事件在工作区级别记录。 此服务包括与 经典群集相关的事件。

service_name 操作名称 说明 请求参数
clusters changeClusterAcl 用户更改群集 ACL。
  • shardName
  • aclPermissionSet
  • targetUserId
  • resourceId
clusters changeOwner 用户更改群集的所有者。
  • cluster_id
  • owner_username
clusters create 用户创建群集。
  • access_mode
  • acl_path_prefix
  • apply_policy_default_values
  • assigned_principal
  • autoscale
  • autotermination_minutes
  • azure_attributes
  • budget_policy_id
  • clone_from
  • cluster_creator
  • cluster_log_conf
  • cluster_name
  • cluster_source
  • cpu_architecture
  • custom_tags
  • data_security_mode
  • disk_spec
  • docker_image
  • driver_instance_pool_id
  • driver_instance_source
  • driver_node_type_id
  • effective_spark_version
  • enable_elastic_disk
  • enable_jobs_autostart
  • enable_local_disk_encryption
  • enable_serverless_compute
  • idempotency_token
  • init_scripts
  • instance_pool_id
  • instance_source
  • is_single_node
  • kind
  • nephos_virtual_driver_size
  • nephos_virtual_worker_size
  • no_driver_daemon
  • node_type_id
  • num_workers
  • organization_id
  • performance_target
  • platform_channel
  • policy_id
  • runtime_engine
  • single_user_name
  • spark_conf
  • spark_env_vars
  • spark_image_key
  • spark_version
  • ssh_public_keys
  • start_cluster
  • use_ml_runtime
  • user_id
  • validate_cluster_name_uniqueness
  • virtual_cluster_size
  • workload_type
clusters createResult 群集创建结果。 与 create 结合使用。
  • clusterName
  • clusterState
  • clusterId
  • clusterTerminationReasonCode
  • clusterWorkers
  • clusterOwnerUserId
clusters delete 集群已终止。
  • cluster_id
  • termination_reason
clusters deleteResult 群集终止结果。 与 delete 结合使用。
  • clusterName
  • clusterState
  • clusterId
  • clusterTerminationReasonCode
  • clusterWorkers
  • clusterOwnerUserId
clusters edit 用户对群集设置进行更改。 这会记录除群集大小更改或自动缩放行为更改之外的所有更改。
  • acl_path_prefix
  • apply_policy_default_values
  • assigned_principal
  • autoscale
  • autotermination_minutes
  • azure_attributes
  • cluster_creator
  • cluster_id
  • cluster_log_conf
  • cluster_name
  • cluster_source
  • custom_tags
  • data_security_mode
  • docker_image
  • driver_instance_pool_id
  • driver_node_type_id
  • effective_spark_version
  • enable_elastic_disk
  • enable_local_disk_encryption
  • idempotency_token
  • init_scripts
  • instance_pool_id
  • is_single_node
  • kind
  • no_driver_daemon
  • node_type_id
  • num_workers
  • organization_id
  • policy_id
  • runtime_engine
  • single_user_name
  • spark_conf
  • spark_env_vars
  • spark_version
  • ssh_public_keys
  • start_cluster
  • use_ml_runtime
  • user_id
  • validate_cluster_name_uniqueness
  • virtual_cluster_size
  • workload_type
clusters permanentDelete 已从用户界面中删除群集。
  • cluster_id
clusters resize 调整群集大小。 这会记录在正在运行的群集上,其中唯一更改的属性是群集大小或自动缩放行为。
  • avoid_containers
  • autoscale
  • cluster_id
  • num_workers
clusters resizeResult 重设群集大小的结果。 与 resize 结合使用。
  • clusterName
  • clusterState
  • clusterId
  • clusterWorkers
  • clusterOwnerUserId
clusters restart 用户重启正在运行的群集。
  • cluster_id
clusters restartResult 群集重启的结果。 与 restart 结合使用。
  • clusterName
  • clusterState
  • clusterId
  • clusterTerminationReasonCode
  • clusterWorkers
  • clusterOwnerUserId
clusters start 用户启动群集。
  • cluster_id
  • init_scripts_safe_mode
clusters startResult 群集启动后的结果。 与 start 结合使用。
  • clusterName
  • clusterState
  • clusterId
  • clusterTerminationReasonCode
  • clusterWorkers
  • clusterOwnerUserId

集群库事件

以下 clusterLibraries 事件是在工作区级别记录的。 此服务包括与 计算作用域库相关的事件。

service_name 操作名称 说明 请求参数
clusterLibraries installLibraries 用户在群集上安装库。
  • cluster_id
  • libraries
  • are_installed_via_policy
  • replace
clusterLibraries uninstallLibraries 用户卸载群集上的库。
  • cluster_id
  • libraries

实例池事件

以下instancePools事件在工作区级别记录。 此服务包括与资源池相关的事件。

service_name 操作名称 说明 请求参数
instancePools changeInstancePoolAcl 用户更改实例池的权限。
  • shardName
  • resourceId
  • targetUserId
  • aclPermissionSet
instancePools create 用户创建实例池。
  • azure_attributes
  • custom_tags
  • disk_spec
  • enable_elastic_disk
  • idle_instance_autotermination_minutes
  • instance_pool_name
  • max_capacity
  • min_idle_instances
  • node_type_flexibility
  • node_type_id
  • preloaded_docker_images
  • preloaded_spark_versions
instancePools delete 用户删除实例池。
  • instance_pool_id
instancePools edit 用户正在编辑实例池。
  • azure_attributes
  • custom_tags
  • disk_spec
  • enable_elastic_disk
  • idle_instance_autotermination_minutes
  • instance_pool_id
  • instance_pool_name
  • max_capacity
  • min_idle_instances
  • node_type_flexibility
  • node_type_id
  • preloaded_docker_images
  • preloaded_spark_versions

作业事件

以下jobs事件在工作区级别记录。 此服务包括与 任务相关的事件。

service_name 操作名称 说明 请求参数
jobs cancel 作业任务运行被取消。
  • run_id
jobs cancelAllRuns 用户取消作业的所有运行。
  • all_queued_runs
  • job_id
jobs changeJobAcl 用户更新作业的权限。
  • shardName
  • aclPermissionSet
  • resourceId
  • targetUserId
jobs create 用户创建作业。
  • budget_policy_id
  • compute
  • continuous
  • create_as_untouched
  • deployment
  • description
  • edit_mode
  • email_notifications
  • environments
  • existing_cluster_id
  • git_source
  • health
  • idempotency_token
  • job_clusters
  • job_type
  • libraries
  • max_concurrent_runs
  • max_retries
  • min_retry_interval_millis
  • name
  • new_cluster
  • notebook_task
  • notification_settings
  • parameters
  • performance_target
  • queue
  • retry_on_timeout
  • run_as
  • run_as_user_name
  • schedule
  • spark_jar_task
  • spark_python_task
  • spark_submit_task
  • tags
  • tasks
  • timeout_seconds
  • trigger
  • webhook_notifications
jobs delete 用户删除作业。
  • job_id
jobs deleteRun 用户删除运行的作业。
  • run_id
  • job_id
jobs deleteTaskValues 用户删除了一次任务运行的任务值。
  • ids
jobs getRunOutput 用户进行 API 调用以获取运行输出。
  • run_id
  • is_from_webapp
  • notebook_output_limit
  • skip_additional_acl_checks
jobs repairRun 用户修复作业任务的运行。
  • run_id
  • latest_repair_id
  • rerun_tasks
  • rerun_all_failed_tasks
  • rerun_dependent_tasks
  • job_parameters
jobs reset 作业已重置。
  • job_id
  • new_settings
jobs resetJobAcl 用户请求更改作业的权限。
  • grants
  • job_id
jobs runCommand 在启用详细的审核日志时可用。 在作业运行中执行笔记本命令后发出。 一个命令对应于笔记本界面中的一个单元格。
  • jobId
  • runId
  • notebookId
  • executionTime
  • status
  • commandId
  • commandText
  • clusterId
  • commandLanguage
jobs runFailed 作业运行失败或已取消。
  • jobClusterType
  • jobTriggerType
  • jobId
  • jobTaskType
  • runId
  • jobTerminalState
  • idInJob
  • orgId
  • runCreatorUserName
  • clusterId
  • jobRunId
  • multitaskParentRunId
  • parentRunId
  • repairId
  • taskDependencies
  • taskDependencyType
  • taskKey
jobs runNow 用户触发按需作业运行。
  • notebook_params
  • job_id
  • jar_params
  • workflow_context
  • job_parameters
  • idempotency_token
  • only
  • performance_target
  • pipeline_params
  • python_params
  • queue
jobs runStart 在验证和创建群集后启动作业运行时发出。 此事件发出的请求参数取决于作业中的任务类型。 除了列出的参数外,它们还可以包括:
  • dashboardId(针对 SQL 仪表板任务)
  • filePath(针对 SQL 文件任务)
  • notebookPath(针对笔记本任务)
  • mainClassName(针对 Spark JAR 任务)
  • pythonFile(针对 Spark JAR 任务)
  • projectDirectory(针对 dbt 任务)
  • commands(针对 dbt 任务)
  • packageName (对于Python轮任务)
  • entryPoint (对于Python轮任务)
  • pipelineId(针对管道任务)
  • queryIds 用于 SQL 查询任务
  • alertId (用于 SQL 警报任务)
  • taskDependencies
  • multitaskParentRunId
  • orgId
  • idInJob
  • jobId
  • jobTerminalState
  • taskKey
  • jobTriggerType
  • jobTaskType
  • runId
  • runCreatorUserName
jobs runSucceeded 作业运行成功。
  • idInJob
  • jobId
  • jobTriggerType
  • orgId
  • runId
  • jobClusterType
  • jobTaskType
  • jobTerminalState
  • runCreatorUserName
  • clusterId
  • jobRunId
  • multitaskParentRunId
  • parentRunId
  • repairId
  • taskDependencies
  • taskDependencyType
  • taskKey
jobs runTriggered 作业调度根据其计划安排或触发器自动进行。
  • jobId
  • jobTriggeredType
  • runId
  • jobTriggerType
  • runCreatorUserName
jobs sendRunWebhook 在作业开始、完成或失败时发送 Webhook。
  • orgId
  • jobId
  • jobWebhookId
  • jobWebhookEvent
  • runId
jobs setTaskValue 用户为任务设置值。
  • run_id
  • key
jobs submitRun 用户通过 API 提交一次性运行。
  • run_name
  • spark_python_task
  • existing_cluster_id
  • notebook_task
  • timeout_seconds
  • libraries
  • new_cluster
  • spark_jar_task
  • access_control_list
  • email_notifications
  • git_source
  • idempotency_token
  • run_as
  • tasks
  • workflow_context
jobs update 用户编辑作业的设置。
  • job_id
  • fields_to_remove
  • new_settings

Lakeflow Spark 声明式管道事件

以下deltaPipelines事件在工作区级别记录。 此服务包括与 Lakeflow Spark 声明性管道相关的事件。

service_name 操作名称 说明 请求参数
deltaPipelines changePipelineAcls 用户更改对管道的权限。
  • aclPermissionSet
  • resourceId
  • shardId
  • shardName
  • targetUserId
deltaPipelines create 用户创建声明性管道。
  • allow_duplicate_names
  • budget_policy_id
  • catalog
  • channel
  • clusters
  • configuration
  • continuous
  • data_sampling
  • dbr_version
  • deployment
  • development
  • dry_run
  • edition
  • email_notifications
  • event_log
  • gateway_definition
  • id
  • ingestion_definition
  • libraries
  • managed_definition
  • name
  • notifications
  • photon
  • pipeline_type
  • restart_window
  • schema
  • serverless
  • storage
  • target
  • trigger
deltaPipelines delete 用户删除声明性管道。
  • pipeline_id
deltaPipelines edit 用户编辑声明式管道。
  • allow_duplicate_names
  • budget_policy_id
  • catalog
  • channel
  • clusters
  • configuration
  • continuous
  • data_sampling
  • dbr_version
  • deployment
  • development
  • edition
  • email_notifications
  • event_log
  • expected_last_modified
  • gateway_definition
  • id
  • ingestion_definition
  • libraries
  • name
  • notifications
  • photon
  • pipeline_id
  • pipeline_type
  • restart_window
  • run_as
  • schema
  • serverless
  • storage
  • target
deltaPipelines startUpdate 用户重新启动声明性管道。
  • cause
  • development
  • full_refresh
  • full_refresh_selection
  • job_task
  • pipeline_id
  • refresh_selection
  • update_cause_details
  • validate_only
deltaPipelines stop 用户停止声明性管道。
  • cancellation_cause
  • pipeline_id

云存储元数据事件

以下cloudStorageMetadata事件在工作区级别记录。 此服务包括与自动加载程序使用的云存储元数据操作和文件到达触发器相关的事件。

service_name 操作名称 说明 请求参数
cloudStorageMetadata listObjects 用户或自动加载作业从云存储位置或 Unity Catalog 卷中获取文件更改的分页列表(新文件、更新的文件或删除的文件)。 客户端使用延续令牌逐步获取自上次读取以来已更改的文件。
  • uri:云存储路径
  • continuation_token:来自先前响应的不透明分页标记
  • max_objects:要返回的最大对象数(默认值为 1,000,上限为 10,000)
  • include_updates:是否包括更新的对象(而不仅仅是新创建的对象)
  • include_deletes:是否包括已删除的对象
  • until_continuation_token:要停止读取的可选上限标记
  • omit_objects:如果为 true,则仅返回不带对象详细信息的计数
  • include_oldest_object_age:是否包含最早列出的对象的年龄
  • include_earliest_ingestion_time:是否包含最早的引入时间戳
  • workload_id:工作负荷标识符
  • caller_context_entries:用于可观测性的调用方提供的上下文 ID(例如,job_idpipeline_idrun_id
cloudStorageMetadata validateFileEventsPermissions 验证是否已为云存储位置上的文件事件通知正确配置凭据和云资源(队列、订阅)。 当用户为 Unity 目录中的外部位置启用托管文件通知时调用。
  • url:要验证的云存储路径
  • credential_name:要验证的 Unity 目录存储凭据的名称
  • provided_sqs: 用户提供的 AWS SQS 队列
  • provided_aqs:用户提供的 Azure 队列存储
  • provided_pubsub:用户提供的 GCP Pub/Sub
  • managed_sqs:由 Azure Databricks 管理的 AWS SQS
  • managed_aqs:由Azure Databricks托管的Azure 队列存储
  • managed_pubsub:Azure Databricks托管的 GCP Pub/Sub

引入事件

以下 ingestion 事件在工作区级别记录,并且与文件上传有关。

service_name 操作名称 说明 请求参数
ingestion proxyFileUpload 用户将文件上传到其Azure Databricks工作区。
  • x-databricks-content-length-0
  • x-databricks-total-files

世系追踪事件

以下lineageTracking事件在工作区级别记录。 此服务包括与 数据世系相关的事件。

service_name 操作名称 说明 请求参数
lineageTracking listColumnLineages 用户访问某列的上游或下游列的列表。
  • table_name
  • column_name
  • lineage_direction:世系方向(UPSTREAMDOWNSTREAM)。
lineageTracking listSecurableLineagesBySecurable 用户访问某个安全对象的上游或下游安全对象的列表。
  • securable_full_name
  • securable_type
  • lineage_direction:世系方向(UPSTREAMDOWNSTREAM)。
  • metastore_id
  • page_size
  • page_token
  • securable_response_filter
  • start_timestamp
  • subsecurable_id
  • workspace_id
lineageTracking listEntityLineagesBySecurable 用户访问写入或读取安全对象的实体(笔记本、作业等)的列表。
  • securable_full_name
  • securable_type
  • lineage_direction:世系方向(UPSTREAMDOWNSTREAM)。
  • entity_response_filter:实体类型(笔记本、作业、仪表板、管道、查询、服务终结点等)。
  • metastore_id
  • page_size
  • start_timestamp
  • subsecurable_id
  • workspace_id
lineageTracking getColumnLineages 用户获取表及其列的列世系。
  • table_name
  • column_name
  • metastore_id
  • only_downstream
  • only_upstream
  • workspace_id
lineageTracking getTableEntityLineages 用户获取表的上游和下游的世系信息。
  • table_name
  • include_entity_lineage
  • include_downstream
  • include_upstream
  • metastore_id
  • workspace_id
lineageTracking getJobTableLineages 用户获取作业的上游和下游表世系。
  • job_id
  • max_result
  • metastore_id
  • workspace_id
lineageTracking getFunctionLineages 用户获取函数的上游和下游安全对象和实体(笔记本、任务等)。
  • function_name
lineageTracking getModelVersionLineages 用户获取模型及其版本的上游和下游安全对象和实体(笔记本、作业等)。
  • model_name
  • version
  • metastore_id
  • workspace_id
lineageTracking getEntityTableLineages 用户可以获取实体(例如笔记本、作业等)的上游表和下游表。
  • entity_type
  • entity_id
  • max_downstreams
  • max_upstreams
  • metastore_id
  • workspace_id
lineageTracking getFrequentlyJoinedTables 用户获取与某表频繁联接的表。
  • table_name
  • include_columns
  • limit_size
  • metastore_id
  • workspace_id
lineageTracking getFrequentQueryByTable 用户获取针对某表的频繁查询列表。
  • source_table_name
  • limit_size
  • metastore_id
  • workspace_id
lineageTracking getFrequentUserByTable 用户获取表的常用用户。
  • table_name
  • limit_size
  • metastore_id
  • workspace_id
lineageTracking getTablePopularityByDate 用户获取过去一个月某表的受欢迎程度(查询计数)。
  • table_name
  • metastore_id
  • workspace_id
lineageTracking getPopularEntities 用户获取表的常用实体(笔记本、作业等)。
  • scope:指定用于从工作区或表名称检索常用实体的范围。
  • table_name
  • limit_size
  • metastore_id
  • workspace_id
lineageTracking getPopularTables 用户获取有关表的受欢迎程度的信息。
  • scope:指定从元存储或表列表中检索常用表的范围。
  • table_name_list
  • metastore_id
  • workspace_id
lineageTracking listCustomLineages 用户列出实体的自定义世系。
  • entity_id
  • lineage_direction
  • metastore_id
  • page_size
  • workspace_id
lineageTracking listSecurableByEntityEvent 用户列出与实体事件关联的安全对象。
  • entity_id
  • entity_type
  • lineage_direction
  • metastore_id
  • page_size
  • page_token
  • securable_response_filter
  • start_timestamp
  • workspace_id

请求访问事件

以下request-for-access事件在工作区级别记录。 此服务包括与 访问请求目标(公共预览版)相关的事件。

service_name 操作名称 说明 请求参数
request-for-access updateAccessRequestDestinations 用户更新 Unity Catalog 安全对象的访问请求目标位置。
  • destinations
  • securable
request-for-access getAccessRequestDestinations 用户获取 Unity 目录安全对象的访问请求目标。
  • full_name
  • securable_type
request-for-access listDestinations 用户获取 Unity 目录安全对象的访问请求目标。 这是getAccessRequestDestinations操作的旧版本。
  • securable
request-for-access getStatus 用户获取 Unity Catalog 安全对象的状态信息。 如果至少有一个访问请求目标存在,则访问请求会被视为对 Unity Catalog 安全对象启用。
  • securable
request-for-access batchCreateAccessRequests 用户请求访问一个或多个 Unity 目录安全对象。
  • requests
request-for-access requestAccess 用户请求访问单个 Unity 目录安全对象。 这是batchCreateAccessRequests操作的旧版本。
  • behalf_of
  • comment
  • privileges
  • securable
request-for-access updateDefaultDestinationStatus 用户更新了工作区级别设置的状态,该设置控制所有 Unity Catalog 安全对象是否分配了默认分配位置。
request-for-access getDefaultDestinationStatus 用户获取默认目标设置的状态。

Uniform Iceberg REST API 事件

以下uniformIcebergRestCatalog事件在工作区级别记录。 当用户使用支持 Iceberg REST 目录 API 的外部 Iceberg 兼容的引擎与托管 Apache Iceberg 表交互时,将记录这些事件。

service_name 操作名称 说明 请求参数
uniformIcebergRestCatalog config 用户获取目录配置。
  • http_method
  • http_path
uniformIcebergRestCatalog createNamespace 用户创建一个命名空间,其中包含一组可选的属性。
  • http_method
  • http_path
uniformIcebergRestCatalog createTable 用户创建新的 Iceberg 表。
  • http_method
  • http_path
uniformIcebergRestCatalog deleteNamespace 用户删除现有命名空间。
  • http_method
  • http_path
uniformIcebergRestCatalog deleteTable 用户删除现有表。
  • http_method
  • http_path
uniformIcebergRestCatalog getNamespace 用户获取命名空间的属性。
  • http_method
  • http_path
uniformIcebergRestCatalog listNamespaces 用户发出调用以在指定级别列出所有命名空间。
  • http_method
  • http_path
uniformIcebergRestCatalog listTables 用户列出给定命名空间下的所有表。
  • http_method
  • http_path
uniformIcebergRestCatalog loadTableCredentials 用户从目录中加载表的已出售凭据。
  • http_method
  • http_path
uniformIcebergRestCatalog loadTable 用户从目录中加载表。
  • http_method
  • http_path
uniformIcebergRestCatalog loadView 用户从目录中加载视图。
  • http_method
  • http_path
uniformIcebergRestCatalog namespaceExists 用户检查命名空间是否存在。
  • http_method
  • http_path
uniformIcebergRestCatalog renameTable 用户重命名现有表
  • http_method
  • http_path
uniformIcebergRestCatalog reportMetrics 用户发送指标报表
  • http_method
  • http_path
uniformIcebergRestCatalog tableExists 用户检查给定命名空间中是否存在表。
  • http_method
  • http_path
uniformIcebergRestCatalog updateNamespaceProperties 用户更新命名空间的属性。
  • http_method
  • http_path
uniformIcebergRestCatalog updateTable 用户更新表元数据。
  • http_method
  • http_path
uniformIcebergRestCatalog viewExists 用户检查给定命名空间中是否存在视图。
  • http_method
  • http_path

DBFS 事件

以下dbfs事件在工作区级别记录。 此服务包括与 DBFS 相关的事件。

有两种类型的 DBFS 事件:API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 编写时,才会记录以下 DBFS 审核事件。

service_name 操作名称 说明 请求参数
dbfs addBlock 用户将数据块追加到流。 这与 dbfs/create 结合使用,用于将数据流式传输到 DBFS。
  • handle
  • data_length
dbfs close 用户关闭由输入句柄指定的流。
  • handle
dbfs create 用户打开流以将文件写入 DBFS。
  • path
  • bufferSize
  • overwrite
dbfs delete 用户从 DBFS 中删除文件或目录。
  • recursive
  • path
dbfs getStatus 用户获取文件或目录的信息。
  • path
dbfs mkdirs 用户创建新的 DBFS 目录。
  • path
dbfs move 用户将文件从一个位置移动到 DBFS 中的另一个位置。
  • dst
  • source_path
  • src
  • destination_path
dbfs put 用户通过多部分表单提交文件到 DBFS。
  • path
  • overwrite
dbfs read 用户读取文件的内容。
  • path
  • offset
  • length

DBFS 操作事件

以下 DBFS 审核事件发生在计算平面上。

service_name 操作名称 说明 请求参数
dbfs mount 用户在特定 DBFS 位置创建装入点。
  • mountPoint
  • owner
dbfs unmount 用户移除特定 DBFS 位置的装入点。
  • mountPoint

文件事件

以下filesystem事件在工作区级别记录。 此服务包括文件管理相关事件,包括使用文件 API 或在磁盘卷 UI 上与文件进行交互操作。

service_name 操作名称 说明 请求参数
filesystem directoriesDelete 用户使用文件 API 或卷 UI 删除目录。
  • path
filesystem directoriesGet 用户使用文件 API 或卷界面列出目录的内容。
  • path
filesystem directoriesHead 用户使用文件 API 或存储卷 UI 获取有关目录的信息。
  • path
filesystem directoriesPut 用户通过使用 Files API 或 Volumes UI 创建目录。
  • path
filesystem filesDelete 用户使用文件 API 或存储卷 UI 删除文件。
  • path
filesystem filesGet 用户使用文件 API 或卷 UI 下载文件。
  • path
  • transferredSize
filesystem filesHead 用户通过使用 Files API 或 Volumes UI 获取有关文件的信息。
  • path
filesystem filesPut 用户通过文件 API 或卷界面上传文件。
  • path
  • receivedSize

工作区文件事件

以下workspaceFiles事件在工作区级别记录。 此服务包括与 工作区文件相关的事件。

service_name 操作名称 说明 请求参数
workspaceFiles wsfsStreamingRead 工作区文件由用户读取,或以编程方式作为工作流的一部分读取。
  • path
workspaceFiles wsfsStreamingWrite 工作区文件由用户写入,或以编程方式作为工作流的一部分写入。
  • path
workspaceFiles wsfsImportFile 用户将文件导入工作区。
  • path

代理评估事件

以下agentEvaluation事件在工作区级别记录。 此服务包括与代理评估相关的事件,包括 生产监视评估数据集人工评估

生产监控事件

以下事件与 生产监视相关,包括 记分器、指标回填和跟踪存档。

service_name 操作名称 说明 请求参数
agentEvaluation getChatAssessments 用户请求对代理的回复进行LLM-judge 评估
  • experiment_id
  • requested_assessments
agentEvaluation getChatCompletions 用户请求 LLM 评估代理响应。 例如,调用make_judge创建的评委。
agentEvaluation createScheduledScorers 用户为试验创建记分器。
  • experiment_id
  • scheduled_scorers.scorers.name
  • scheduled_scorers.scorers.sample_rate
agentEvaluation getScheduledScorers 用户检索试验的评分器。
  • experiment_id
agentEvaluation updateScheduledScorers 用户更新实验的评分器。
  • experiment_id
  • scheduled_scorers.scorers.name
  • scheduled_scorers.scorers.sample_rate
agentEvaluation deleteScheduledScorers 用户删除试验的记分器。
  • experiment_id
agentEvaluation runMetricBackfill 用户为试验执行指标回填。
  • experiment_id
  • start_timestamp_ms
  • end_timestamp_ms
agentEvaluation startTraceArchival 用户开始对实验进行跟踪归档。
  • experiment_id
  • archive_table_fullname
agentEvaluation stopTraceArchival 用户停止对试验的跟踪存档。
  • experiment_id

用于评估的数据集内的事件

以下事件与 评估数据集相关,包括数据集和数据集记录的 CRUD 操作、批处理操作和预期管理。

service_name 操作名称 说明 请求参数
agentEvaluation createDataset 用户创建评估数据集。
  • dataset.dataset_id
  • dataset.name
agentEvaluation getDataset 用户检索评估数据集。
  • dataset_id
agentEvaluation listDatasets 用户列出评估数据集。
  • filter
  • order_by
agentEvaluation updateDataset 用户更新评估数据集。
  • dataset_id
  • dataset.dataset_id
  • dataset.name
agentEvaluation deleteDataset 用户删除评估数据集。
  • dataset_id
agentEvaluation createDatasetRecord 用户在评估数据集中创建记录。
  • dataset_id
  • dataset_record.dataset_record_id
agentEvaluation getDatasetRecord 用户从评估数据集检索记录。
  • dataset_id
  • dataset_record_id
agentEvaluation listDatasetRecords 用户列出评估数据集中的记录。
  • dataset_id
agentEvaluation updateDatasetRecord 用户更新评估数据集中的记录。
  • dataset_id
  • dataset_record_id
  • dataset_record.dataset_record_id
agentEvaluation deleteDatasetRecord 用户从评估数据集中删除记录。
  • dataset_id
  • dataset_record_id
agentEvaluation batchCreateDatasetRecords 用户在单个批处理操作中的评估数据集中创建多个记录。
  • dataset_id
  • requests.dataset_id
  • requests.dataset_record.dataset_record_id
agentEvaluation upsertExpectations 用户在评估数据集中更新或插入记录的预期。
  • dataset_id
  • dataset_record_id

综合数据生成事件

以下事件与综合评估数据生成相关。

service_name 操作名称 说明 请求参数
agentEvaluation generateQuestions 用户生成用于评估的综合问题。
  • experiment_id
  • instance_id
  • num_questions
agentEvaluation generateAnswer 用户生成用于评估的合成答案。
  • answer_types
  • experiment_id
  • instance_id

查看应用事件

以下事件与 评审应用进行人工评估相关,包括评审应用管理、标记会话和项目管理。

service_name 操作名称 说明 请求参数
agentEvaluation createReviewApp 用户创建用于人工评估的评审应用。
  • review_app.experiment_id
  • review_app.review_app_id
agentEvaluation getReviewApp 用户检索审阅应用。
  • review_app_id
agentEvaluation listReviewApps 用户列出审阅应用。
agentEvaluation updateReviewApp 用户对审阅应用进行更新。
  • review_app.experiment_id
  • review_app.review_app_id
  • review_app_id
agentEvaluation createLabelingSession 用户在审阅应用中创建标记会话。
  • labeling_session.labeling_session_id
  • labeling_session.mlflow_run_id
  • labeling_session.name
  • review_app_id
agentEvaluation getLabelingSession 用户从审阅应用检索标注会话。
  • labeling_session_id
  • review_app_id
agentEvaluation listLabelingSessions 用户在审阅应用中列出标记会话。
  • review_app_id
agentEvaluation updateLabelingSession 用户在审阅应用程序中更新标签会话。
  • labeling_session.labeling_session_id
  • labeling_session.mlflow_run_id
  • labeling_session.name
  • labeling_session_id
  • review_app_id
agentEvaluation deleteLabelingSession 用户从审阅应用中删除标注会话。
  • review_app_id
  • labeling_session_id
agentEvaluation batchCreateItems 用户在单个批处理操作的标记会话中创建多个项。
  • items.item_id
  • labeling_session_id
  • review_app_id
agentEvaluation getItem 用户从标记会话中检索项。
  • review_app_id
  • labeling_session_id
  • item_id
agentEvaluation listItems 用户在标记会话中列出项。
  • labeling_session_id
  • review_app_id
agentEvaluation updateItem 用户更新标记会话中的项。
  • review_app_id
  • labeling_session_id
  • item_id
  • item.item_id
agentEvaluation batchDeleteItems 用户在单个批处理操作中从标记会话中删除多个项。
  • review_app_id
  • labeling_session_id
  • item_ids

MLflow 试验事件

以下mlflowExperiment事件在工作区级别记录。 此服务包括与 MLflow 试验相关的事件。

service_name 操作名称 说明 请求参数
mlflowExperiment createMlflowExperiment 用户创建 MLflow 实验。
  • experimentId
  • path
  • experimentName
mlflowExperiment deleteMlflowExperiment 用户删除 MLflow 实验。
  • experimentId
  • path
  • experimentName
mlflowExperiment moveMlflowExperiment 用户移动 MLflow 实验。
  • newPath
  • experimentId
  • oldPath
mlflowExperiment restoreMlflowExperiment 用户还原 MLflow 实验。
  • experimentId
  • path
  • experimentName
mlflowExperiment renameMlflowExperimentEvent 用户重命名 MLflow 实验。
  • oldName
  • newName
  • experimentId
  • parentPath

具有 ACL 事件的 MLflow 工件

以下mlflowAcledArtifact事件在工作区级别记录。 此服务包含与拥有 ACL 的 MLflow 工件相关的事件。

service_name 操作名称 说明 请求参数
mlflowAcledArtifact readArtifact 用户进行调用以读取项目。
  • artifactLocation
  • experimentId
  • runId
mlflowAcledArtifact writeArtifact 用户进行调用以写入到项目。
  • artifactLocation
  • experimentId
  • runId

MLflow 模型注册表事件

以下mlflowModelRegistry事件在工作区级别记录。 此服务包括与工作区模型注册表相关的事件。 有关 Unity 目录中模型的活动日志,请参阅 Unity 目录事件

服务 操作 说明 请求参数
modelRegistry approveTransitionRequest 用户批准模型版本阶段转换请求。
  • name
  • version
  • stage
  • archive_existing_versions
  • comment
modelRegistry changeRegisteredModelAcl 用户更新已注册模型的权限。
  • registeredModelId
  • userId
  • aclPermissionSet
  • resourceId
  • shardName
  • targetUserId
modelRegistry createComment 用户发布对模型版本的注释。
  • name
  • version
modelRegistry createModelVersion 用户创建模型版本。
  • name
  • source
  • run_id
  • tags
  • run_link
modelRegistry createRegisteredModel 用户创建新的已注册模型
  • name
  • tags
  • description
modelRegistry createRegistryWebhook 用户为模型注册事件创建网络钩子。
  • orgId
  • registeredModelId
  • events
  • description
  • status
  • creatorId
  • httpUrlSpec
modelRegistry createTransitionRequest 用户创建模型版本阶段转换请求。
  • name
  • version
  • stage
  • comment
modelRegistry deleteComment 用户删除对模型版本的注释。
  • id
modelRegistry deleteModelVersion 用户删除模型版本。
  • name
  • version
modelRegistry deleteModelVersionTag 用户删除模型版本标记。
  • name
  • version
  • key
modelRegistry deleteRegisteredModel 用户删除已注册模型
  • name
modelRegistry deleteRegisteredModelTag 用户删除已注册模型的标签。
  • name
  • key
modelRegistry deleteRegistryWebhook 用户删除模型注册表的 Webhook。
  • orgId
  • webhookId
modelRegistry deleteTransitionRequest 用户取消模型版本阶段转换请求。
  • name
  • version
  • stage
  • creator
modelRegistry finishCreateModelVersionAsync 已完成异步模型复制。
  • name
  • version
modelRegistry generateBatchInferenceNotebook 批处理推理笔记本是自动生成的。
  • userId
  • orgId
  • modelName
  • inputTableOpt
  • outputTablePathOpt
  • stageOrVersion
  • modelVersionEntityOpt
  • notebookPath
modelRegistry generateDltInferenceNotebook 声明性管道的推理过程笔记本已自动生成。
  • userId
  • orgId
  • modelName
  • inputTable
  • outputTable
  • stageOrVersion
  • notebookPath
  • input_table
  • name
  • output_table
  • stage
  • version
modelRegistry getModelVersionDownloadUri 用户获取用于下载模型版本的 URI。
  • name
  • version
modelRegistry getModelVersionSignedDownloadUri 用户获取用于下载已签名模型版本的 URI。
  • name
  • version
  • path
modelRegistry listModelArtifacts 用户进行调用以列出模型的构件。
  • name
  • version
  • path
  • page_token
modelRegistry listRegistryWebhooks 用户进行调用以列出模型中的所有注册表 Webhook。
  • orgId
  • registeredModelId
modelRegistry rejectTransitionRequest 用户拒绝模型版本阶段转换请求。
  • name
  • version
  • stage
  • comment
modelRegistry renameRegisteredModel 用户重命名已注册模型
  • name
  • new_name
modelRegistry setEmailSubscriptionStatus 用户更新已注册模型的电子邮件订阅状态
  • model_name
  • subscription_type
modelRegistry setModelVersionTag 用户设置模型版本标记。
  • name
  • version
  • key
  • value
modelRegistry setRegisteredModelTag 用户设置模型版本标记。
  • name
  • key
  • value
modelRegistry setUserLevelEmailSubscriptionStatus 用户更新整个注册表的电子邮件通知状态。
  • orgId
  • userId
  • subscriptionStatus
  • subscription_type
modelRegistry testRegistryWebhook 用户测试模型注册表的 Webhook。
  • orgId
  • webhookId
modelRegistry transitionModelVersionStage 用户获取模型版本的所有开放阶段转换请求的列表。
  • name
  • version
  • stage
  • archive_existing_versions
  • comment
modelRegistry triggerRegistryWebhook 模型注册表的 webhook 通过事件被触发。
  • orgId
  • registeredModelId
  • events
  • status
modelRegistry updateComment 用户对模型版本的评论进行编辑。
  • id
modelRegistry updateRegistryWebhook 用户更新模型注册表的 Webhook。
  • orgId
  • webhookId

特征存储事件

以下featureStore事件在工作区级别记录。 此服务包括与 Databricks 功能存储相关的事件。

service_name 操作名称 说明 请求参数
featureStore addConsumer 使用者已添加到特征存储。
  • features
  • job_run
  • notebook
featureStore addDataSources 数据源已添加到特征表。
  • feature_table
  • paths
  • tables
featureStore addProducer 生产者已添加到功能表。
  • feature_table
  • job_run
  • notebook
  • producer_action
featureStore changeFeatureTableAcl 特征表中的权限已发生更改。
  • aclPermissionSet
  • resourceId
  • shardName
  • targetUserId
featureStore createFeatureSpec 创建了一项功能规范。
  • feature_spec_yaml
  • name
featureStore createFeatureTable 已创建特征表。
  • description
  • is_imported
  • name
  • partition_keys
  • primary_keys
  • timestamp_keys
featureStore createFeatures 特征在特征表中创建。
  • feature_table
  • features
featureStore deleteFeatureTable 已删除特征表。
  • dry_run
  • name
featureStore deleteTags 已从特征表中删除标记。
  • feature_table_id
  • keys
featureStore generateFeatureSpecYaml 生成一个功能规范的 YAML 文件。
  • exclude_columns
  • feature_spec_yaml
  • features
  • input_columns
featureStore getBrickstoreOnlineTableMetadata 用户获取 Brickstore 在线表元数据。
  • feature_table_features
featureStore getConsumers 用户进行调用以获取特征表中的使用者。
  • feature_table
featureStore getFeatureStoreWidePermissions 用户获得整个功能商店的权限。
featureStore getFeatureTable 用户进行调用以获取特征表。
  • exclude_online_stores
  • include_producers
  • name
featureStore getFeatureTablesById 用户进行调用以获取特征表 ID。
  • ids
featureStore getFeatures 用户拨打电话以获取功能。
  • feature_table
  • max_results
featureStore getModelServingMetadata 用户进行调用以获取模型服务元数据。
  • feature_table_features
featureStore getOnlineFeatureTables 用户获取在线功能表。
  • create_if_not_exist
  • feature_table_features
  • include_brickstore
  • is_v1_serving
featureStore getOnlineStore 用户拨打电话以获取网店详情。
  • cloud
  • feature_table
  • online_table
  • store_type
featureStore getOnlineStores 用户获取在线商店。
  • feature_tables
featureStore getTags 用户进行调用以获取特征表的标记。
  • feature_table_id
featureStore logFeatureStoreClientEvent 功能存储客户端事件已被记录。
  • aggregate_features
  • create_materialized_view
featureStore publishFeatureTable 已发布特性表。
  • cloud
  • feature_table
  • host
  • online_table
  • port
  • read_secret_prefix
  • store_type
  • write_secret_prefix
featureStore searchFeatureTables 用户搜索特征表。
  • catalog_names
  • exclude_online_stores
  • is_multi_catalog
  • max_results
  • owner_ids
  • page_token
  • search_scopes
  • sort_order
  • text
featureStore setTags 已将标记添加到特征表。
  • feature_table_id
  • tags
featureStore updateFeatureTable 已更新特征表。
  • description
  • name

Unity 目录 HTTP 连接事件

通过 Unity Catalog ucHttpConnection(例如调用外部函数或连接到外部 MCP 服务器)代理请求时,会在工作区级别记录以下事件。

service_name 操作名称 说明 请求参数
ucHttpConnection ucHttpConnectionProxiedRequest 请求被代理,通过 Unity Catalog 的 HTTP 连接连接到外部终结点。
  • auth_type
  • connection_id
  • connection_name
  • http_method

Databricks SQL 事件

以下databrickssql事件在工作区级别记录。 此服务包括与 Databricks SQL 相关的事件。

注意

如果使用旧版 SQL 终结点 API 管理 SQL 仓库,SQL 仓库审核事件将具有不同的操作名称。 请参阅 SQL 终结点日志

service_name 操作名称 说明 请求参数
databrickssql cancelQueryExecution 在 SQL 编辑器的 UI 中取消了查询执行。 这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。
  • queryExecutionId:仅在使用旧版 SQL 编辑器时发出。
  • query_id:仅在使用 新的 SQL 编辑器 时发出。
databrickssql changeEndpointAcls 仓库管理员更新对 SQL 仓库的权限。
  • aclPermissionSet
  • resourceId
  • shardName
  • targetUserId
databrickssql cloneFolderNode 用户在工作区浏览器中克隆文件夹。
  • dashboardId
databrickssql commandFinish 仅在详细的审核日志中。 在 SQL 仓库上的命令完成或取消时生成,无论取消请求的来源如何。
  • warehouseId
  • commandId
databrickssql commandSubmit 仅在详细的审核日志中。 在命令提交到 SQL 仓库时生成,无论请求的来源如何。
  • warehouseId
  • commandId
  • validation
  • commandText
  • commandParameters
databrickssql createAlert 用户创建 旧警报
  • alertId
  • queryId
databrickssql createQuery 用户新建查询。
  • queryId
databrickssql getQuery 用户在 SQL 编辑器页中打开查询,或调用 Databricks SQL 获取查询 API。 仅当使用旧版 SQL 编辑器或 Databricks SQL REST API 时发出。
  • queryId
databrickssql createQueryDraft 用户创建查询草稿。 仅当使用旧版 SQL 编辑器时发出。
  • queryId
databrickssql createQuerySnippet 用户创建查询片段。
  • querySnippetId
databrickssql createVisualization 用户使用 SQL 编辑器生成可视化效果。 排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。 仅当使用旧版 SQL 编辑器时发出。
  • queryId
  • visualizationId
databrickssql createWarehouse 具有群集创建权利的用户创建 SQL 仓库。
  • auto_resume
  • auto_stop_mins
  • channel
  • warehouse_type
  • cluster_size
  • conf_pairs
  • custom_cluster_confs
  • enable_databricks_compute
  • enable_photon
  • enable_serverless_compute
  • instance_profile_arn
  • max_num_clusters
  • min_num_clusters
  • name
  • size
  • tags
  • test_overrides
databrickssql deleteAlert 用户通过 API 删除 旧警报 。 排除从文件浏览器 UI 或旧版警报界面进行的删除。
  • alertId
databrickssql deleteNotificationDestination 工作区管理员删除通知目标。
  • notificationDestinationId
databrickssql deleteWarehouse 仓库管理员删除 SQL 仓库。
  • id
databrickssql deleteQuery 用户通过查询界面或 API 删除查询。 通过文件浏览器 UI 排除删除操作。
  • queryId
databrickssql deleteQueryDraft 用户删除查询草稿。 仅当使用旧版 SQL 编辑器时发出。
  • queryId
databrickssql deleteQuerySnippet 用户删除查询片段。
  • querySnippetId
databrickssql deleteVisualization 用户从 SQL 编辑器的查询中删除可视化效果。 仅当使用旧版 SQL 编辑器时发出。
  • visualizationId
databrickssql downloadQueryResult 用户从 SQL 编辑器下载查询结果。 从仪表板中排除下载项。
  • fileType
  • queryId
  • queryResultId:仅在使用旧版 SQL 编辑器时发出。
  • credentialsEmbedded
  • credentialsEmbeddedId
databrickssql editWarehouse 仓库管理员编辑 SQL 仓库。
  • auto_stop_mins
  • channel
  • warehouse_type
  • cluster_size
  • confs
  • enable_photon
  • enable_serverless_compute
  • id
  • instance_profile_arn
  • max_num_clusters
  • min_num_clusters
  • name
  • tags
databrickssql executeAdhocQuery 由下列项之一生成:
  • 用户在 SQL 编辑器中运行查询草稿
  • 从可视化效果聚合执行查询
  • 用户加载仪表板并执行基础查询
  • dataSourceId:仅在使用旧版 SQL 编辑器时发出。 等效于 SQL 仓库 ID。
  • warehouse_id:仅在使用 新的 SQL 编辑器 时发出。
  • query_id:仅在使用 新的 SQL 编辑器 时发出。 对应于新 SQL 编辑器中的当前查询文本,该文本可能与原始保存的查询等效。
databrickssql executeSavedQuery 用户运行保存的查询。 仅当使用旧版 SQL 编辑器时发出。
  • queryId
databrickssql favoriteQuery 用户收藏查询。
  • queryId
databrickssql forkQuery 用户克隆查询。
  • originalQueryId
  • queryId
databrickssql getAlert 用户打开 旧警报 的详细信息页或调用旧版获取警报 API。
  • id:警报的 ID
databrickssql getHistoryQueriesByLookupKeys 用户使用查找键获取一个或多个查询执行的详细信息。
  • lookup_keys
  • include_metrics
databrickssql getHistoryQuery 用户使用 UI 获取查询执行的详细信息。
  • id
  • queryId
  • include_metrics
  • include_plans
  • include_json_plans
databrickssql listHistoryQueries 用户打开查询历史记录页或调用查询历史记录 列表查询 API
  • filter_by
  • include_metrics
  • max_results
  • page_token
  • order_by
databrickssql moveAlertToTrash 用户使用 API 将 旧警报 移动到回收站。 排除从文件浏览器 UI 或旧版警报界面进行的删除。
  • alertId
databrickssql moveQueryToTrash 用户将查询移动到回收站。
databrickssql restoreAlert 用户将旧警报从回收站还原。
  • alertId
databrickssql restoreQuery 用户从回收站恢复查询。
  • queryId
databrickssql setWarehouseConfig 工作区管理员更新其工作区的 SQL 仓库设置,包括配置参数和数据访问属性。
  • data_access_config
  • enable_serverless_compute
  • instance_profile_arn
  • security_policy
  • serverless_agreement
  • sql_configuration_parameters
databrickssql startWarehouse SQL 仓库已启动。
  • id
databrickssql stopWarehouse 仓库管理员停止 SQL 仓库。 排除自动停止的仓库。
  • id
databrickssql transferObjectOwnership 工作区管理员通过转移对象所有权 API 将仪表板、查询或旧警报的所有权转移到活动用户。 此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。
  • newOwner
  • objectId
  • objectType
databrickssql unfavoriteQuery 用户从其收藏夹中移除查询。
  • queryId
databrickssql updateAlert 用户对 旧警报进行更新。 ownerUserName 会在通过 API 转移旧警报所有权时填充。
  • alertId
  • queryId
  • ownerUserName
databrickssql updateNotificationDestination 工作区管理员对通知目标进行更新。
  • notificationDestinationId
databrickssql updateFolderNode 用户在工作区浏览器中更新文件夹节点。
  • name
databrickssql updateOrganizationSetting 工作区管理员对工作区的 SQL 设置进行更新。
  • has_configured_data_access
  • has_explored_sql_warehouses
  • has_granted_permissions
  • hide_plotly_mode_bar
  • send_email_on_failed_dashboards
  • allow_downloads
databrickssql updateQuery 用户对查询进行更新。 如果使用 API 转移查询所有权,则会填充 ownerUserName
  • queryId
  • ownerUserName
databrickssql updateQueryDraft 用户对查询草稿进行更新。 仅当使用旧版 SQL 编辑器时发出。
  • queryId
databrickssql updateQuerySnippet 用户对查询片段进行更新。
  • querySnippetId
databrickssql updateVisualization 用户从 SQL 编辑器更新可视化效果。 仅当使用旧版 SQL 编辑器时发出。
  • visualizationId

笔记本事件

以下notebook事件在工作区级别记录。 此服务包括与 笔记本相关的事件。

service_name 操作名称 说明 请求参数
notebook attachNotebook 笔记本电脑已附加到计算群集。 还会在将新的 SQL 编辑器附加到 SQL 仓库时发出。
  • path
  • clusterId
  • notebookId
notebook cloneNotebook 用户克隆笔记本。
  • notebookId
  • path
  • clonedNotebookId
  • destinationPath
notebook createFolder 创建笔记本文件夹。
  • path
notebook createNotebook 已创建笔记本。
  • notebookId
  • path
notebook deleteFolder 已删除笔记本文件夹。
  • path
notebook deleteNotebook 已删除笔记本。
  • notebookId
  • notebookName
  • path
notebook deleteRepo 删除存储库。
  • path
notebook detachNotebook 笔记本与集群分离。 还会在从 SQL 仓库拆离新的 SQL 编辑器时发出。
  • notebookId
  • clusterId
  • path
notebook downloadLargeResults 用户下载的查询结果太大,无法显示在笔记本中。 当使用 新的 SQL 编辑器 下载查询结果时也会发出。
  • notebookId
  • notebookFullPath
  • commandId
notebook downloadPreviewResults 用户下载查询结果。 当使用 新的 SQL 编辑器 下载查询结果时也会发出。
  • notebookId
  • notebookFullPath
  • commandId
notebook importNotebook 用户导入笔记本。
  • path
  • workspaceExportFormat
notebook modifyNotebook 笔记本已修改。
  • notebookId
  • path
notebook moveFolder 笔记本文件夹已从一个位置移动到另一个位置。
  • oldPath
  • newPath
  • folderId
notebook moveNotebook 笔记本电脑已从一个位置移动到另一个位置。
  • newPath
  • oldPath
  • notebookId
notebook openNotebook 用户使用 UI 打开笔记本。
  • notebookId
  • path
notebook renameFolder 笔记本文件夹已重命名。
  • folderId
  • newName
  • oldName
  • parentPath
notebook renameNotebook 笔记本已重命名。
  • newName
  • oldName
  • parentPath
  • notebookId
notebook restoreFolder 删除的文件夹已还原。
  • path
notebook restoreNotebook 删除的笔记本已还原。
  • path
  • notebookId
  • notebookName
notebook restoreRepo 已删除的存储库已还原。
  • path
notebook runCommand 在启用详细的审核日志时可用。 Databricks 在笔记本或新的 SQL 编辑器中运行命令后会发出信号。 命令对应于笔记本中的单元格或 新 SQL 编辑器中的查询文本。
executionTime 以秒为度量单位。
  • notebookId
  • executionTime
  • status
  • commandId
  • commandText
  • commandLanguage
notebook submitCommand 在提交命令以便在笔记本或 新的 SQL 编辑器中执行时生成。 命令对应于笔记本中的单元格或 新 SQL 编辑器中的查询文本。
  • notebookId
  • commandId
  • clusterId
  • commandLanguage
  • commandText (仅在启用 详细审核日志 时可用)
notebook takeNotebookSnapshot 在运行任务服务或 mlflow 时拍摄笔记本的快照。
  • path

Git 文件夹事件

以下repos事件在工作区级别记录。 此服务包括与 Databricks Git 文件夹相关的事件。 另请参阅 gitCredentials

service_name 操作名称 说明 请求参数
repos checkoutBranch 用户检出代码库中的分支。
  • id
  • branch
repos commitAndPush 用户提交并推送到存储库。
  • id
  • message
  • files
  • checkSensitiveToken
repos createRepo 用户在工作区中创建存储库
  • url
  • provider
  • path
repos deleteRepo 用户删除存储库。
  • id
repos discard 用户丢弃提交到仓库的更改。
  • id
  • file_paths
repos getRepo 用户进行调用以获取有关单个存储库的信息。
  • id
repos listRepos 用户进行调用以获取他们对其拥有管理权限的所有存储库。
  • path_prefix
  • next_page_token
repos pull 用户从存储库拉取最新提交。
  • id
repos updateRepo 用户将存储库更新到不同的分支或标记,或更新到同一分支上的最新提交。
  • id
  • branch
  • tag
  • git_url
  • git_provider

Git 凭据事件

以下gitCredentials事件在工作区级别记录。 此服务包括与 Databricks Git 文件夹的 Git 凭据相关的事件。

service_name 操作名称 说明 请求参数
gitCredentials createGitCredential 用户创建 git 凭据。
  • git_provider
  • git_username
gitCredentials deleteGitCredential 用户删除 git 凭据。
  • id
gitCredentials getGitCredential 用户获取 git 凭据。
  • id
gitCredentials linkGitProvider 用户关联 Git 提供商。
  • git_provider
  • principal_id
gitCredentials listGitCredentials 用户列出所有 git 凭据
  • principal_id
gitCredentials updateGitCredential 用户更新 git 凭据。
  • id
  • git_provider
  • git_username

全局初始化脚本事件

以下globalInitScripts事件在工作区级别记录。 此服务包括与 全局初始化脚本相关的事件。

service_name 操作名称 说明 请求参数
globalInitScripts batch-reorder 工作区管理员对全局初始化脚本进行重新排序。
  • script_ids
globalInitScripts create 工作区管理员创建全局初始化脚本。
  • name
  • position
  • script-SHA256
  • enabled
globalInitScripts update 工作区管理员更新全局初始化脚本。
  • script_id
  • name
  • position
  • script-SHA256
  • enabled
globalInitScripts delete 工作区管理员删除全局初始化脚本。
  • script_id

远程历史记录服务事件

以下RemoteHistoryService事件在工作区级别记录。 此服务包括与添加和删除GitHub凭据相关的事件。

service_name 操作名称 说明 请求参数
RemoteHistoryService addUserGitHubCredentials 用户添加 Github 凭据
RemoteHistoryService deleteUserGitHubCredentials 用户删除 Github 凭据
RemoteHistoryService updateUserGitHubCredentials 用户更新 GitHub 认证信息

工作区事件

以下workspace事件在工作区级别记录。 此服务包括与工作区管理相关的事件。

service_name 操作名称 说明 请求参数
workspace addPermissionAssignment 帐户管理员将主体添加到工作区。
  • principal_id
  • account_id
  • workspace_id
workspace changeWorkspaceAcl 对工作区的权限已发生更改。
  • shardName
  • targetUserId
  • aclPermissionSet
  • resourceId
workspace deletePermissionAssignment 工作区管理员从工作区中删除主体。
  • principal_id
  • account_id
  • workspace_id
workspace deleteSetting 已从工作区中删除设置。
  • settingKeyTypeName
  • settingKeyName
  • settingTypeName
  • settingName
workspace fileCreate 用户在工作区中创建文件。
  • path
workspace fileDelete 用户删除工作区中的文件。
  • path
workspace fileEditorOpenEvent 用户打开文件编辑器。
  • notebookId
  • path
workspace getPermissionAssignment 帐户管理员获取工作区的权限分配。
  • account_id
  • workspace_id
workspace getRoleAssignment 用户获取工作区的角色权限。
  • account_id
  • workspace_id
workspace mintOAuthAuthorizationCode 在工作区级别生成内部 OAuth 授权代码时记录。
  • client_id
workspace mintOAuthToken 已为工作区创建 OAuth 令牌。
  • grant_type
  • scope
  • expires_in
  • client_id
workspace moveWorkspaceNode 工作区管理员移动工作区节点。
  • destinationPath
  • path
workspace purgeWorkspaceNodes 工作区管理员清除工作区节点。
  • treestoreId
workspace reattachHomeFolder 重新将现有的用户主目录关联到重新加入工作区的用户。
  • path
workspace renameWorkspaceNode 工作区管理员重命名工作区节点。
  • path
  • destinationPath
workspace unmarkHomeFolder 从工作区中移除用户时,会同时移除主文件夹特殊属性。
  • path
workspace updateRoleAssignment 工作区管理员更新工作区用户的角色。
  • account_id
  • workspace_id
  • principal_id
  • role
workspace updatePermissionAssignment 工作区管理员将主体添加到工作区。
  • principal_id
  • permissions
workspace setSetting 工作区管理员配置工作区设置。
  • settingKeyTypeName
  • settingKeyName
  • settingTypeName
  • settingName
  • settingValueForAudit
workspace workspaceConfEdit 工作区管理员对设置进行更新,例如启用详细的审核日志。
  • workspaceConfKeys
  • workspaceConfValues
workspace workspaceExport 用户从工作区中导出笔记本。
  • workspaceExportDirectDownload
  • workspaceExportFormat
  • notebookFullPath
workspace workspaceInHouseOAuthClientAuthentication OAuth 客户端在工作区服务中进行身份验证。
  • user

机密事件

以下secrets事件在工作区级别记录。 此服务包括与 机密相关的事件。

service_name 操作名称 说明 请求参数
secrets createScope 用户创建机密范围。
  • scope
  • initial_manage_principal
  • scope_backend_type
secrets deleteAcl 用户删除机密范围的 ACL。
  • scope
  • principal
secrets deleteScope 用户删除机密范围。
  • scope
secrets deleteSecret 用户从范围中删除机密。
  • key
  • scope
secrets getAcl 用户获得秘密范围的 ACL列表。
  • scope
  • principal
secrets getSecret 用户从范围中获取密钥。
  • key
  • scope
secrets listAcls 用户进行调用以列出机密范围的 ACL。
  • scope
secrets listScopes 用户进行调用以列出机密范围
secrets listSecrets 用户发起调用以列出范围中的密钥。
  • scope
secrets putAcl 用户更改秘密范围的访问控制列表 (ACL)。
  • scope
  • principal
  • permission
secrets putSecret 用户在范围中添加或编辑密钥。
  • string_value
  • key
  • scope

SSH 事件

以下ssh事件在工作区级别记录。 此服务包括与 SSH 访问相关的事件。

service_name 操作名称 说明 请求参数
ssh login 代理通过 SSH 登录到 Spark 驱动程序。
  • containerId
  • userName
  • port
  • publicKey
  • instanceId
ssh logout 代理通过 SSH 从 Spark 驱动程序注销。
  • userName
  • containerId
  • instanceId

Web控制台事件

以下webTerminal事件在工作区级别记录。 此服务包括与 Web 终端 功能相关的事件。

service_name 操作名称 说明 请求参数
webTerminal startSession 用户启动 Web 终端会话。
  • socketGUID
  • clusterId
  • serverPort
  • ProxyTargetURI
webTerminal closeSession 用户关闭 Web 终端会话。
  • socketGUID
  • clusterId
  • serverPort
  • ProxyTargetURI

Webhook 事件

以下webhookNotifications事件在工作区级别记录。 此服务包括与 通知目标相关的事件。

service_name 操作名称 说明 请求参数
webhookNotifications createWebhook 管理员创建新的通知目标。
  • name
  • options
  • type
webhookNotifications deleteWebhook 管理员删除通知目标。
  • id
webhookNotifications getWebhook 用户使用 UI 或 API 查看有关通知目标的信息。
  • id
webhookNotifications notifyWebhook 将触发 Webhook 并将通知有效负载发送到目标 URL。
  • body
  • id
webhookNotifications testWebhook 为验证配置并确保能够成功接收通知,将测试负载发送至 Webhook URL。
  • id
webhookNotifications updateWebhook 管理员更新通知目标。
  • name
  • options
  • type

帐户级服务

以下服务在帐户级别记录审核事件。

帐户级身份验证事件

以下 accounts 事件与帐户控制台身份验证相关。

service_name 操作名称 说明 请求参数
accounts accountInHouseOAuthClientAuthentication OAuth 客户端已经过身份验证。
  • endpoint
  • user:记录为电子邮件地址
  • authenticationMethod
accounts login 用户登录到帐户控制台。
  • user
  • authenticationMethod
accounts logout 用户从账户管理控制台登出。
  • user
accounts oidcBrowserLogin 用户使用 OpenID Connect 浏览器工作流登录到其帐户。
  • user
accounts oidcTokenAuthorization OIDC 令牌经过身份验证以用于帐户管理员登录。
  • user
  • authenticationMethod
accounts tokenLogin 用户使用令牌登录到 Databricks。
  • tokenId
  • user
  • authenticationMethod

帐户级用户和组管理事件

以下 accounts 事件与帐户级用户和组管理相关。

service_name 操作名称 说明 请求参数
accounts activateUser 用户在被停用后重新被激活。 请参阅停用帐户中的用户
  • targetUserName
  • endpoint
  • targetUserId
accounts add 用户已被添加到 Azure Databricks 帐户。
  • targetUserName
  • endpoint
  • targetUserId
accounts addPrincipalsToGroup 已使用 SCIM 预配将用户添加到帐户级别组。
  • targetGroupId
  • endpoint
  • targetUserId
  • targetGroupName
  • groupMembershipType
  • targetUserName
accounts createGroup 已创建帐户级别组。
  • endpoint
  • targetGroupId
  • targetGroupName
accounts deactivateUser 停用用户。 请参阅停用帐户中的用户
  • targetUserName
  • endpoint
  • targetUserId
accounts delete 已从 Azure Databricks 帐户中删除用户。
  • targetUserId
  • targetUserName
  • endpoint
accounts removeAccountAdmin 帐户管理员移除其他用户的帐户管理员权限。
  • targetUserName
  • endpoint
  • targetUserId
accounts removeGroup 已从帐户中移除组。
  • targetGroupId
  • targetGroupName
  • endpoint
accounts removePrincipalFromGroup 用户已被移除出帐户级别组。
  • targetGroupId
  • endpoint
  • targetUserId
  • targetGroupName
  • groupMembershipType
  • targetUserName
accounts removePrincipalsFromGroup 已使用 SCIM 预配从帐户级别组移除用户。
  • targetGroupId
  • endpoint
  • targetUserId
  • targetGroupName
  • targetUserName
accounts setAccountAdmin 帐户管理员将帐户管理员角色分配给另一个用户。
  • targetUserName
  • endpoint
  • targetUserId
accounts updateUser 帐户管理员更新用户帐户。
  • targetUserName
  • endpoint
  • targetUserId
  • targetUserExternalId
accounts updateGroup 帐户管理员更新帐户级别组。
  • endpoint
  • targetGroupId
  • targetGroupName
accounts validateEmail 当用户在创建帐户后验证其电子邮件时。
  • endpoint
  • targetUserName
  • targetUserId

帐户级令牌和设置事件

以下 accounts 事件与令牌管理和帐户设置相关。

service_name 操作名称 说明 请求参数
accounts accountIpAclsValidationFailed IP 权限验证失败。 返回 statusCode 403。
  • sourceIpAddress
  • user:记录为电子邮件地址
accounts deleteSetting 帐户管理员从 Azure Databricks 帐户中移除设置。
  • settingKeyTypeName
  • settingKeyName
  • settingTypeName
  • settingName
  • settingValueForAudit
accounts garbageCollectDbToken 用户对过期的令牌运行垃圾回收命令。
  • tokenExpirationTime
  • tokenClientId
  • userId
  • tokenCreationTime
  • tokenFirstAccessed
  • tokenHash
accounts generateDbToken 用户可以在“用户设置”中生成令牌,或者在服务生成令牌时生成。
  • tokenExpirationTime
  • tokenCreatedBy
  • tokenHash
  • userId
accounts setSetting 帐户管理员更新帐户级别设置。
  • settingKeyTypeName
  • settingKeyName
  • settingTypeName
  • settingName
  • settingValueForAudit

服务主体凭据事件

以下 servicePrincipalCredentials 事件会在账户层面进行记录。 这些事件与 服务凭据相关。

service_name 操作名称 说明 请求参数
servicePrincipalCredentials create 帐户管理员为服务主体生成 OAuth 机密。
  • account_id
  • service_principal
  • secret_id
  • lifetime
servicePrincipalCredentials list 帐户管理员列出了服务主体下的所有 OAuth 机密。
  • account_id
  • service_principal
servicePrincipalCredentials delete 帐户管理员删除服务主体的 OAuth 机密。
  • account_id
  • service_principal
  • secret_id

无服务器预算策略事件

以下budgetPolicyCentral事件以帐户级别进行记录,并与无服务器预算策略相关。 请参阅 使用无服务器使用策略的属性使用情况

service_name 操作名称 说明 请求参数
budgetPolicyCentral createBudgetPolicy 工作区管理员或计费管理员创建无服务器预算策略。 新 policy_id 记录在 response 列中。
  • policy_name
budgetPolicyCentral updateBudgetPolicy 工作区管理员、计费管理员或策略管理器更新无服务器预算策略。
  • policy.policy_id
  • policy.policy_name
budgetPolicyCentral deleteBudgetPolicy 工作区管理员、计费管理员或策略管理器删除无服务器预算策略。
  • policy_id

Delta Sharing 提供程序事件

以下审核日志事件记录在提供者帐户中。 接收者执行的操作以 deltaSharing 前缀开头。 其中每个日志还包括 request_params.metastore_id、管理共享数据的元存储,以及发起该活动的用户的 ID userIdentity.email

service_name 操作名称 说明 请求参数
unityCatalog deltaSharingListShares 数据接收者请求股份列表。
  • options:此请求提供的分页选项。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetShare 数据接收者请求有关股票份额的详细信息。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListSchemas 数据接收者请求共享架构的列表。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • options:此请求提供的分页选项。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllTables 数据接收者请求所有共享表的列表。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListTables 数据接收者请求共享表的列表。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • options:此请求提供的分页选项。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableMetadata 数据接收者请求有关表元数据的详细信息。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • schema:架构的名称。
  • name:表的名称。
  • predicateHints:查询中包含的谓词。
  • limitHints:要返回的最大行数。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingGetTableVersion 数据接收者请求有关表版本的详细信息。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • schema:架构的名称。
  • name:表的名称。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTable 当数据接收者查询共享表时记录。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • schema:架构的名称。
  • name:表的名称。
  • predicateHints:查询中包含的谓词。
  • limitHints:要返回的最大行数。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryTableChanges 当数据接收者查询表的更改数据时记录。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • schema:架构的名称。
  • name:表的名称。
  • cdf_options:更改数据馈送选项。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTable 当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关收件人查询的详细信息
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueriedTableChanges 当数据接收者获取对其查询的响应后记录。 该 response.result 字段包含有关收件人查询的详细信息。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListNotebookFiles 数据接收者请求共享笔记本文件的列表。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingQueryNotebookFile 数据接收者查询共享笔记本文件。
  • file_name:笔记本文件的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctions 数据接收者请求父架构中函数的列表。
  • share:共享的名称。
  • schema:函数的父架构的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllFunctions 数据接收者请求所有共享函数的列表。
  • share:共享的名称。
  • schema:函数的父架构的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListFunctionVersions 数据接收者请求函数版本列表。
  • share:共享的名称。
  • schema:函数的父架构的名称。
  • function:函数的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListVolumes 数据接收者请求架构中共享卷的列表。
  • share:共享的名称。
  • schema:卷的父架构。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog deltaSharingListAllVolumes 数据接收者请求所有共享卷。
  • share:共享的名称。
  • recipient_name:表示执行操作的收件人。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则为 true;如果未拒绝请求,则为 false。 sourceIPaddress 是收件人 IP 地址。
unityCatalog updateMetastore 提供者更新其元存储。
  • delta_sharing_scope:值可以是 INTERNALINTERNAL_AND_EXTERNAL
  • delta_sharing_recipient_token_lifetime_in_seconds:如果存在,则指示收件人令牌生存期已更新。
unityCatalog createRecipient 提供者创建数据接收者。
  • name:收件人的姓名。
  • comment:收件人的注释。
  • ip_access_list.allowed_ip_addresses: 接收者 IP 地址允许列表。
unityCatalog deleteRecipient 提供者删除数据接收者。
  • name:收件人的姓名。
unityCatalog getRecipient 提供者请求有关数据接收者的详细信息。
  • name:收件人的姓名。
unityCatalog listRecipients 提供者请求其所有数据接收者的列表。
unityCatalog rotateRecipientToken 提供者轮换接收者的令牌。
  • name:收件人的姓名。
  • comment:旋转命令中给出的注释。
unityCatalog updateRecipient 提供者更新数据接收者的属性。
  • name:收件人的姓名。
  • updates:已从共享添加或删除的收件人属性的 JSON 表示形式。
unityCatalog createShare 提供者更新数据接收者的属性。
  • name:共享的名称。
  • comment:共享的注释。
unityCatalog deleteShare 提供者更新数据接收者的属性。
  • name:共享的名称。
unityCatalog getShare 提供者请求有关共享的详细信息。
  • name:共享的名称。
  • include_shared_objects:请求中是否包含共享的表名。
unityCatalog updateShare 提供者添加或移除共享中的数据资产。
  • name:共享的名称。
  • updates:表示数据资产的 JSON 格式,这些数据资产被添加到共享中或从共享中移除。 每一项都包含 action(添加或移除)、name(表的实际名称)、shared_as(资产共享时的名称,如果与实际名称不同),以及 partition_specification(如果提供了分区规范)。
unityCatalog listShares 提供者请求一份他们股份的列表。
unityCatalog getSharePermissions 提供者请求有关共享权限的详细信息。
  • name:共享的名称。
unityCatalog updateSharePermissions 提供者更新共享的权限。
  • name:共享的名称。
  • changes:已更新权限的 JSON 表示形式。 每项更改都包含 principal(向其授予或撤消权限的用户或组)、add(已授予的权限列表)、remove(已撤消的权限列表)。
unityCatalog getRecipientSharePermissions 提供者请求有关接收者共享权限的详细信息。
  • name:共享的名称。
unityCatalog getActivationUrlInfo 提供者请求有关其激活链接上活动的详细信息。
  • recipient_name:打开激活 URL 的收件人的名称。
  • is_ip_access_denied:如果未配置 IP 访问列表,则无。 否则,如果拒绝了请求,则值为 true;如果未拒绝请求,则值为 falsesourceIPaddress 是收件人 IP 地址。
unityCatalog generateTemporaryVolumeCredential 将为接收者生成临时凭据以访问共享卷。
  • share_name:收件人通过其提出请求的共享名称。
  • share_id:共享的 ID。
  • share_owner:份额的所有者。
  • recipient_name:请求凭据的收件人的名称。
  • recipient_id:收件人的 ID。
  • volume_full_name:卷的完整 3 级名称。
  • volume_id:卷的 ID。
  • volume_storage_location:卷根的云路径。
  • operationREAD_VOLUMEWRITE_VOLUME。 对于卷共享,仅支持 READ_VOLUME
  • credential_id:凭据的 ID。
  • credential_type:凭据的类型。 值为 StorageCredentialServiceCredential
  • credential_kind:用于授权访问的方法。
  • workspace_id:当请求针对共享卷时,值始终为 0
unityCatalog generateTemporaryTableCredential 将为接收者生成临时凭据以访问共享表。
  • share_name:收件人通过其提出请求的共享名称。
  • share_id:共享的 ID。
  • share_owner:份额的所有者。
  • recipient_name:请求凭据的收件人的名称。
  • recipient_id:收件人的 ID。
  • table_full_name:卷的完整 3 级名称。
  • table_id:表的 ID。
  • table_url:表根的云路径。
  • operationREADREAD_WRITE
  • credential_id:凭据的 ID。
  • credential_type:凭据的类型。 值为 StorageCredentialServiceCredential
  • credential_kind:用于授权访问的方法。
  • workspace_id:当请求用于共享表时,值始终为0
unityCatalog createRecipientOidcPolicy 供应商为收件人制定 OIDC 联合策略。
  • recipient_name
  • policy
unityCatalog deleteRecipientOidcPolicy 提供者删除收件人的开放ID连接联合策略。
  • recipient_name
  • name
  • workspace_id
  • metastore_id
unityCatalog deleteRecipientPolicy 提供程序删除收件人策略。
  • recipient_name
  • name
  • workspace_id
  • metastore_id
unityCatalog getRecipientOidcPolicy 提供者请求有关接收者的 OIDC 联合身份验证策略的详细信息。
  • recipient_name
  • name
  • workspace_id
  • metastore_id
unityCatalog getRecipientPropertiesByDependentId 提供程序请求依赖对象的收件人属性。
  • dependent
  • property_keys
  • workspace_id
  • metastore_id
unityCatalog listRecipientOidcPolicies 提供者请求接收方的 OIDC 联合策略列表。
  • recipient_name
  • workspace_id
  • metastore_id
unityCatalog reconnectRecipientAccount 提供者重新连接 Databricks 到 Databricks 的收件人帐户。
  • recipient
  • metastore_id
unityCatalog retrieveRecipientToken 收件人检索其持票人令牌以进行开放共享认证。
  • recipient_name
  • is_ip_access_denied
  • metastore_id
unityCatalog deltaSharingGetQueryInfo 服务提供商请求共享表的查询信息。
  • name
  • recipient_authentication_type
  • recipient_global_metastore_id
  • recipient_name
  • share_id
  • user_agent
  • is_ip_access_denied
  • share
  • schema
  • query_id
  • share_name
  • recipient_id
  • workspace_id
  • metastore_id
unityCatalog deltaSharingReconciliation Delta Sharing 执行共享表的对账。
  • tableType
  • tableDataSourceFormat
  • tableUrl
  • schemaId
  • tableFullName
  • accountId
  • metastoreId
  • securableId
  • catalogId
  • opType
  • workspace_id
  • metastore_id
unityCatalog addShareToCatalog 收件人将共享装载到目录。
  • catalog_name
  • provider_name
  • share_name
  • workspace_id
  • metastore_id
unityCatalog listSharesInCatalog 用户请求目录中已挂载的共享资源列表。
  • catalog_name
  • workspace_id
  • metastore_id
unityCatalog removeShareFromCatalog 接收方从目录中卸载共享。
  • catalog_name
  • provider_name
  • share_name
  • workspace_id
  • metastore_id
unityCatalog listProviderShareAssets 用户请求提供程序共享中的资产列表。
  • provider_name_arg
  • share_name_arg
  • workspace_id
  • metastore_id
unityCatalog listInboundSharedNotebookFiles 收件人请求目录中共享的笔记本文件列表。
  • catalog_name
  • workspace_id
  • metastore_id
unityCatalog getInboundSharedNotebookFile 收件人请求有关共享笔记本文件的详细信息。
  • catalog_name
  • notebook_file_name_arg
  • workspace_id
  • metastore_id
unityCatalog listSharedCatalogs 提供程序请求共享目录的列表。
  • provider_ids
  • workspace_id
  • metastore_id

Delta Sharing 接收方事件

以下事件记录在数据接收者的帐户中。 这些事件记录接收者对共享数据和 AI 资产的访问,以及与提供者管理关联的事件。 其中每个事件还包括以下请求参数:

  • recipient_name:数据提供程序系统中接收者的名称。
  • metastore_id:数据提供程序系统中元存储的名称。
  • sourceIPAddress:发起请求的 IP 地址。
service_name 操作名称 说明 请求参数
unityCatalog deltaSharingProxyGetTableVersion 数据接收者请求有关共享表版本的详细信息。
  • share_name:共享的名称。
  • catalog_name:装载到共享的目录的名称。
  • schema:表的父架构的名称。
  • name:表的名称。
unityCatalog deltaSharingProxyGetTableMetadata 数据接收者请求有关共享表元数据的详细信息。
  • share_name:共享的名称。
  • catalog_name:装载到共享的目录的名称。
  • schema:表的父架构的名称。
  • name:表的名称。
unityCatalog deltaSharingProxyQueryTable 数据接收者查询共享表。
  • share_name:共享的名称。
  • catalog_name:装载到共享的目录的名称。
  • schema:表的父架构的名称。
  • name:表的名称。
  • limitHints:要返回的最大行数。
  • predicateHints:查询中包含的谓词。
  • version:表版本(如果启用了更改数据馈送)。
unityCatalog deltaSharingProxyQueryTableChanges 数据接收者查询表的更改数据。
  • share_name:共享的名称。
  • catalog_name:装载到共享的目录的名称。
  • schema:表的父架构的名称。
  • name:表的名称。
  • cdf_options:更改数据馈送选项。
unityCatalog createProvider 数据接收者创建提供者对象。
  • name:供应商的名称。
  • comment:提供者的注释。
unityCatalog updateProvider 数据接收者更新提供者对象。
  • name:供应商的名称。
  • updates:在共享中添加或删除的提供程序属性的 JSON 表示形式。 每项都包含 action(添加或移除),并且可以包含 name(新的提供者名称)、owner(新的所有者)和 comment
unityCatalog deleteProvider 数据接收者删除提供者对象。
  • name:供应商的名称。
unityCatalog getProvider 数据接收者请求有关提供者对象的详细信息。
  • name:供应商的名称。
unityCatalog listProviders 数据接收者请求提供者列表。
unityCatalog activateProvider 数据接收者激活提供者对象。
  • name:供应商的名称。
unityCatalog listProviderShares 数据接收者请求提供者共享的列表。
  • name:供应商的名称。

Delta 共享 Iceberg 外部客户端事件

重要

此功能目前以公共预览版提供。

以下 dataSharing 事件在外部 Iceberg 客户端使用 Apache Iceberg REST Catalog API 访问共享数据时记录在账户级日志中。 若要了解详细信息,请参阅 “启用与外部 Iceberg 客户端共享”。

当外部 Iceberg 客户端(如 Snowflake 或其他非 Databricks 系统)访问共享数据时,将记录这些事件。

service_name 操作名称 说明 请求参数
dataSharing icebergGetConfig 外部 Iceberg 客户端请求配置信息。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id
dataSharing icebergListNamespaces 外部 Iceberg 客户端请求命名空间列表。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id
dataSharing icebergGetNamespace 外部 Iceberg 客户端请求有关命名空间的详细信息。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id
dataSharing icebergListTables 外部 Iceberg 客户端请求命名空间中的表列表。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id
dataSharing icebergLoadTable 外部 Iceberg 客户端加载表元数据。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id
dataSharing icebergReportMetrics 外部 Iceberg 客户端报告指标。
  • recipient_id
  • recipient_name
  • recipient_authentication_type
  • user_agent
  • share_id
  • share_name
  • namespace_name
  • table_name
  • metastore_id

SQL 表访问事件

注意

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储

以下sqlPermissions事件在工作区级别记录。

service_name 操作名称 说明 请求参数
sqlPermissions changeSecurableOwner 工作区管理员或对象的所有者转让对象所有权。
  • securable
  • principal
sqlPermissions createSecurable 用户创建安全对象。
  • securable
sqlPermissions denyPermission 对象所有者拒绝对安全对象的权限。
  • permission
sqlPermissions grantPermission 对象所有者授予对安全对象的权限。
  • permission
sqlPermissions removeAllPermissions 用户删除安全对象。
  • securable
sqlPermissions renameSecurable 用户重命名安全对象。
  • before
  • after
sqlPermissions requestPermissions 用户请求对安全对象的权限。
  • requests
  • denied
  • permitted
sqlPermissions revokePermission 对象所有者撤销对其安全对象的权限。
  • permission
sqlPermissions showPermissions 用户查看安全对象权限。
  • securable
  • principal

弃用的日志事件

Databricks 已弃用以下 serverlessRealTimeInference 诊断事件。 这些事件与旧版 MLflow 模型服务有关,该服务于 2025 年 9 月 15 日结束。

  • enable
  • disable

Databricks 已弃用以下 databrickssql 诊断事件:

  • createAlertDestination(现在为 createNotificationDestination
  • deleteAlertDestination(现在为 deleteNotificationDestination
  • updateAlertDestination(现在为 updateNotificationDestination
  • muteAlert
  • unmuteAlert

SQL 端点日志

如果使用弃用的 SQL 终结点 API(SQL 仓库之前的名称)创建 SQL 仓库,则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。 除了名称,这些事件与 SQL 仓库事件均相同。 若要查看这些事件的说明和请求参数,请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括:

  • changeEndpointAcls
  • createEndpoint
  • editEndpoint
  • startEndpoint
  • stopEndpoint
  • deleteEndpoint
  • setEndpointConfig
  • Last updated on