诊断日志参考

注意

此功能需要高级计划。

本文提供了审核日志服务和事件的综合参考。这些服务的可用性取决于你如何访问日志：

Azure Monitor的诊断设置服务不会记录所有这些服务。 Azure诊断设置上不可用的服务会相应地进行标记。
工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure诊断日志不包括帐户级事件。

注意

Azure Databricks保留最多 1 年的审核日志副本，以便进行安全和欺诈分析。

工作区级事件

以下服务记录工作区级别的审核事件。

身份验证事件

这些事件与用户身份验证相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`accountInHouseOAuthClientAuthentication`	OAuth 客户端使用内部 OAuth 令牌进行身份验证。	`user` `authenticationMethod`
`accountLoginCodeAuthentication`	对用户帐户登录代码进行身份验证。	`user`
`aadBrowserLogin`	用户使用Microsoft Entra ID浏览器工作流登录到 Databricks。	`user`
`aadTokenLogin`	用户通过 Microsoft Entra ID 令牌登录到 Databricks。	`user`
`jwtLogin`	用户使用 JWT 登录到 Databricks。	`user` `authenticationMethod`
`login`	用户登录到工作区。	`user` `authenticationMethod`
`logout`	用户从工作区中注销。	`user`
`mfaAddKey`	用户注册新的安全密钥。
`mfaDeleteKey`	用户删除安全密钥。	`id`
`mfaLogin`	用户使用 MFA 登录到 Databricks。	`user` `authenticationMethod`
`mintOAuthAuthorizationCode`	内部 OAuth 授权代码已缩进。	`client_id`
`mintOAuthToken`	内部 OAuth 令牌已缩进。	`grant_type` `scope` `expires_in` `client_id`
`multiFactorAuthenticationLogin`	用户使用多重身份验证登录到 Databricks。	`user` `authenticationMethod`
`oidcBrowserLogin`	用户使用 OpenID Connect 浏览器工作流登录到 Databricks。	`user` `authenticationMethod`
`oidcTokenAuthorization`	通过通用 OIDC/OAuth 令牌授权 API 调用时。	`user` `authenticationMethod`
`samlLogin`	用户通过 SAML SSO 登录到 Databricks。	`user` `authenticationMethod`
`tokenLogin`	用户使用令牌登录到 Databricks。	`tokenId` `user` `authenticationMethod`
`workspaceLoginCodeAuthentication`	对用户的工作区范围的登录代码进行身份验证。	`user` `authenticationMethod`

用户和组管理事件

这些事件与用户和组管理相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`activateUser`	用户在被停用后重新被激活。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`add`	用户将添加到Azure Databricks工作区。	`targetUserName` `endpoint` `targetUserId`
`addPrincipalToGroup`	用户已添加到工作区级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`addPrincipalsToGroup`	将多个用户添加到工作区级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`changeDatabricksSqlAcl`	更改用户的 Databricks SQL 权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`changeDatabricksWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`changeDatabricksWorkspaceDirectoryAcl`	工作区目录的权限已更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`changePassword`	用户的密码已更改。	`newPasswordSource` `targetUserId` `serviceSource` `wasPasswordChanged` `userId`
`changePasswordAcl`	帐户中更改了密码更改权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`changeServicePrincipalAcls`	当服务主体的权限被更改时。	`shardName` `targetServicePrincipal` `resourceId` `aclPermissionSet`
`createGroup`	已创建工作区级别组。	`endpoint` `targetUserId` `targetUserName`
`deactivateUser`	在工作区中停用用户。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`delete`	用户将从Azure Databricks工作区中删除。	`targetUserId` `targetUserName` `endpoint`
`deleteUser`	用户的个人身份信息在至少 7 天内不属于任何正在运行的工作区后被清除。
`disableClusterAcls`	为工作区禁用群集访问控制。	`shardName` `endpoint`
`disableTableAcls`	表访问控制已为工作区禁用。	`shardName` `endpoint`
`disableWorkspaceAcls`	工作区访问控制已为工作区禁用。	`shardName` `endpoint`
`enableClusterAcls`	为工作区启用群集访问控制。	`shardName` `endpoint`
`enableTableAcls`	为工作区启用表访问控制。	`shardName` `endpoint`
`enableWorkspaceAcls`	为工作区启用工作区访问控制。	`shardName` `endpoint`
`removeAdmin`	用户被撤销工作区管理员权限。	`targetUserName` `endpoint` `targetUserId`
`removeGroup`	已从工作区中移除一个组。	`targetGroupId` `targetGroupName` `endpoint`
`removePrincipalFromGroup`	已从组中移除用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`removePrincipalsFromGroup`	从工作区级别组中删除多个用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`resetPassword`	重置用户的密码。	`serviceSource` `userId` `endpoint` `targetUserId` `targetUserName` `wasPasswordChanged` `newPasswordSource`
`setAdmin`	用户被授予帐户管理员权限。	`endpoint` `targetUserName` `targetUserId`
`updateGroup`	将更新组的属性。	`endpoint` `targetGroupId` `targetGroupName`
`updateUser`	对用户的帐户进行了更改。	`endpoint` `targetUserName` `targetUserId` `targetUserExternalId`
`usernameDomainDenied`	用户注册尝试被拒绝，因为不允许电子邮件域。	`targetUserName`
`validateEmail`	当用户在创建帐户后验证其电子邮件时。	`endpoint` `targetUserName` `targetUserId`

令牌管理事件

这些事件与令牌管理相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`autoScopeDbToken`	批处理操作在自动范围强制实施过程中减少了令牌范围。	`token_infos.scope` `token_infos.token_hash` `token_partition_id.workspaceId` `token_partition_id.accountId` `run_mode`
`changeDbTokenAcl`	对访问令牌的权限已更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`changeDbTokenState`	Databricks 访问令牌已禁用。	`tokenHash` `tokenState` `userId`
`garbageCollectDbToken`	用户对过期的令牌运行垃圾回收命令。	`tokenExpirationTime` `tokenClientId` `userId` `tokenCreationTime` `tokenFirstAccessed` `tokenHash`
`generateDbToken`	当某人从“用户设置”生成令牌时，或者当服务生成令牌时。	`tokenExpirationTime` `tokenCreatedBy` `tokenHash` `userId`
`reachMaxQuotaDbToken`	当当前未过期的令牌数超过令牌配额时。
`revokeDbToken`	用户的令牌被移除出工作区。可以在用户从 Databricks 帐户中被移除时触发。	`userId` `tokenHash`
`revokeOutOfQuotaDbToken`	由于令牌配额已超出，Databricks 访问令牌被吊销。
`updateDbToken`	Databricks 访问令牌已更新。	`token.scopes` `token_id`
`updateOnBehalfOfToken`	将更新代表令牌。	`token.created_by_id` `token.owner_id` `token.scopes` `token.token_id`

IP 访问列表事件

这些事件与 IP 访问列表相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`createIpAccessList`	IP 访问列表已添加到工作区。	`ipAccessListId` `userId`
`deleteIpAccessList`	已从工作区中删除 IP 访问列表。	`ipAccessListId` `userId`
`IpAccessDenied`	用户尝试通过被拒绝的 IP 连接到服务。	`path` `user` `userId`
`ipAccessListQuotaExceeded`		`userId`
`updateIpAccessList`	IP 访问列表已发生更改。	`ipAccessListId` `userId`

IAM 角色事件

在工作区级别记录以下事件。

这些事件记录在以下iamRole项下service_name。

操作名称	说明	请求参数
`changeIamRoleAcl`	工作区管理员更改 IAM 角色的权限。	`targetUserId` `shardName` `resourceId` `aclPermissionSet`

AI/BI 仪表板事件

这些事件记录在工作区级别。此服务包括与 AI/BI 仪表板相关的事件。

这些事件记录在以下dashboards项下service_name。

操作名称	说明	请求参数
`getDashboard`	用户通过以下方式访问仪表板的草稿版本：在 UI 中查看版本，或使用 API 请求仪表板定义。只有工作区用户可以访问仪表板的草稿版本。	`dashboard_id`
`getPublishedDashboard`	用户通过以下方式访问仪表板的已发布版本：在 UI 中查看版本，或使用 API 请求仪表板定义。包括工作区用户和帐户用户的活动。不包括使用计划电子邮件接收仪表板的 PDF 快照。	`dashboard_id` `credentials_embedded`
`executeQuery`	用户从仪表板执行查询。	`dashboard_id` `statement_id` `details`
`cancelQuery`	用户从仪表板取消查询。	`dashboard_id` `statement_id`
`getQueryResult`	用户从仪表板接收查询结果。	`dashboard_id` `statement_id`
`triggerDashboardSnapshot`	用户下载仪表板的 PDF 快照。	`dashboard_id` `name`
`sendDashboardSnapshot`	仪表板的 PDF 快照通过计划发送的电子邮件或通知渠道发送。请求参数值取决于接收者的类型。对于 Databricks 通知目标，仅显示 `destination_id`。对于 Databricks 用户，将显示订阅者的用户 ID 和电子邮件地址。如果接收者是电子邮件地址，则仅显示电子邮件地址。	`dashboard_id` `subscriber_destination_id` `subscriber_user_details.user_id` `subscriber_user_details.email_address`
`getDashboardDetails`	用户访问仪表板草稿的详细信息，例如数据集和小组件。当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时，始终会发出 `getDashboardDetails`。	`dashboard_id`
`createDashboard`	用户使用 UI 或 API 创建新的 AI/BI 仪表板。	`dashboard_id`
`updateDashboard`	用户使用 UI 或 API 更新 AI/BI 仪表板。	`dashboard_id`
`cloneDashboard`	用户克隆 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id`
`publishDashboard`	用户使用 UI 或 API 发布具有共享或单个数据权限的 AI/BI 仪表板。	`dashboard_id` `credentials_embedded` `warehouse_id`
`unpublishDashboard`	用户使用 UI 或 API 撤销已发布的 AI/BI 仪表板。	`dashboard_id`
`trashDashboard`	用户使用仪表板 UI 或 Lakeview API 命令将仪表板移动到回收站。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区操作，请参阅工作区事件。	`dashboard_id`
`restoreDashboard`	用户使用仪表板 UI 或 Lakeview API 命令从回收站还原 AI/BI 仪表板。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区操作，请参阅工作区事件。	`dashboard_id`
`migrateDashboard`	用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id` `update_parameter_syntax`
`createSchedule`	用户创建电子邮件订阅计划。	`dashboard_id` `schedule_id` `schedule`
`updateSchedule`	用户对 AI/BI 仪表板的时间表进行了更新。	`dashboard_id` `schedule_id`
`deleteSchedule`	用户删除 AI/BI 仪表板的排程。	`dashboard_id` `schedule_id`
`createSubscription`	用户将一个电子邮件地址设置为 AI/BI 仪表板的计划接收方。	`dashboard_id` `schedule_id` `schedule`
`deleteSubscription`	用户从 AI/BI 仪表板的计划中删除电子邮件目的地。	`dashboard_id` `schedule_id`

警报事件

重要

此功能在 Beta 版中。工作区管理员可以从预览页控制对此功能的访问。请参阅 Manage Azure Databricks 预览版。

这些事件记录在工作区级别。此服务包括与警报相关的事件。

注意

此服务不记录旧警报事件。遗留的警报事件记录在 databrickssql 服务下。

这些事件记录在以下alerts项下service_name。

操作名称	说明	请求参数
`apiCreateAlert`	用户使用警报 V2 API 创建警报。	`alert.id`
`apiGetAlert`	用户使用警报 V2 API 获取警报。	`alert_id`
`apiTrashAlert`	用户使用警报 V2 API 删除警报。	`alert_id`
`apiUpdateAlert`	用户使用警报 V2 API 更新警报。	`alert.id`
`cloneAlert`	用户克隆现有警报。	`alert_id`
`createAlert`	用户创建新的警报。	`alert_id`
`getAlert`	用户使用 UI 获取有关警报的信息。	`alert_id`
`previewAlertEvaluate`	测试条件功能返回警报测试结果。	`execution_session_id`
`previewAlertExecute`	用户使用测试条件功能预览和测试其警报。	`warehouse_id`
`runNowAlert`	用户单击“ 立即运行 ”按钮以立即运行警报查询。	`alert_id`
`updateAlert`	用户更新警报的详细信息。	`alert.id`

群集事件

这些事件记录在工作区级别。此服务包括与经典群集相关的事件。

这些事件记录在以下clusters项下service_name。

操作名称	说明	请求参数
`changeClusterAcl`	用户更改群集 ACL。	`shardName` `aclPermissionSet` `targetUserId` `resourceId`
`changeOwner`	用户更改群集的所有者。	`cluster_id` `owner_username`
`create`	用户创建群集。	`access_mode` `acl_path_prefix` `apply_policy_default_values` `assigned_principal` `autoscale` `autotermination_minutes` `azure_attributes` `budget_policy_id` `clone_from` `cluster_creator` `cluster_log_conf` `cluster_name` `cluster_source` `cpu_architecture` `custom_tags` `data_security_mode` `disk_spec` `docker_image` `driver_instance_pool_id` `driver_instance_source` `driver_node_type_id` `effective_spark_version` `enable_elastic_disk` `enable_jobs_autostart` `enable_local_disk_encryption` `enable_serverless_compute` `idempotency_token` `init_scripts` `instance_pool_id` `instance_source` `is_single_node` `kind` `nephos_virtual_driver_size` `nephos_virtual_worker_size` `no_driver_daemon` `node_type_id` `num_workers` `organization_id` `performance_target` `platform_channel` `policy_id` `runtime_engine` `single_user_name` `spark_conf` `spark_env_vars` `spark_image_key` `spark_version` `ssh_public_keys` `start_cluster` `use_ml_runtime` `user_id` `validate_cluster_name_uniqueness` `virtual_cluster_size` `workload_type`
`createResult`	群集创建结果。与 `create` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`delete`	集群已终止。	`cluster_id` `termination_reason`
`deleteResult`	群集终止结果。与 `delete` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`edit`	用户对群集设置进行更改。这会记录除群集大小更改或自动缩放行为更改之外的所有更改。	`acl_path_prefix` `apply_policy_default_values` `assigned_principal` `autoscale` `autotermination_minutes` `azure_attributes` `cluster_creator` `cluster_id` `cluster_log_conf` `cluster_name` `cluster_source` `custom_tags` `data_security_mode` `docker_image` `driver_instance_pool_id` `driver_node_type_id` `effective_spark_version` `enable_elastic_disk` `enable_local_disk_encryption` `idempotency_token` `init_scripts` `instance_pool_id` `is_single_node` `kind` `no_driver_daemon` `node_type_id` `num_workers` `organization_id` `policy_id` `runtime_engine` `single_user_name` `spark_conf` `spark_env_vars` `spark_version` `ssh_public_keys` `start_cluster` `use_ml_runtime` `user_id` `validate_cluster_name_uniqueness` `virtual_cluster_size` `workload_type`
`permanentDelete`	已从用户界面中删除群集。	`cluster_id`
`resize`	调整群集大小。这会记录在正在运行的群集上，其中唯一更改的属性是群集大小或自动缩放行为。	`avoid_containers` `autoscale` `cluster_id` `num_workers`
`resizeResult`	重设群集大小的结果。与 `resize` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`restart`	用户重启正在运行的群集。	`cluster_id`
`restartResult`	群集重启的结果。与 `restart` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`start`	用户启动群集。	`cluster_id` `init_scripts_safe_mode`
`startResult`	群集启动后的结果。与 `start` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`

集群库事件

这些事件记录在工作区级别。此服务包括与计算作用域库相关的事件。

这些事件记录在以下clusterLibraries项下service_name。

操作名称	说明	请求参数
`installLibraries`	用户在群集上安装库。	`cluster_id` `libraries` `are_installed_via_policy` `replace`
`uninstallLibraries`	用户卸载群集上的库。	`cluster_id` `libraries`

实例池事件

这些事件记录在工作区级别。此服务包括与资源池相关的事件。

这些事件记录在以下instancePools项下service_name。

操作名称	说明	请求参数
`changeInstancePoolAcl`	用户更改实例池的权限。	`shardName` `resourceId` `targetUserId` `aclPermissionSet`
`create`	用户创建实例池。	`azure_attributes` `custom_tags` `disk_spec` `enable_elastic_disk` `idle_instance_autotermination_minutes` `instance_pool_name` `max_capacity` `min_idle_instances` `node_type_flexibility` `node_type_id` `preloaded_docker_images` `preloaded_spark_versions`
`delete`	用户删除实例池。	`instance_pool_id`
`edit`	用户正在编辑实例池。	`azure_attributes` `custom_tags` `disk_spec` `enable_elastic_disk` `idle_instance_autotermination_minutes` `instance_pool_id` `instance_pool_name` `max_capacity` `min_idle_instances` `node_type_flexibility` `node_type_id` `preloaded_docker_images` `preloaded_spark_versions`

作业事件

这些事件记录在工作区级别。此服务包括与任务相关的事件。

这些事件记录在以下jobs项下service_name。

操作名称	说明	请求参数
`cancel`	作业任务运行被取消。	`run_id`
`cancelAllRuns`	用户取消作业的所有运行。	`all_queued_runs` `job_id`
`changeJobAcl`	用户更新作业的权限。	`shardName` `aclPermissionSet` `resourceId` `targetUserId`
`create`	用户创建作业。	`budget_policy_id` `compute` `continuous` `create_as_untouched` `deployment` `description` `edit_mode` `email_notifications` `environments` `existing_cluster_id` `git_source` `health` `idempotency_token` `job_clusters` `job_type` `libraries` `max_concurrent_runs` `max_retries` `min_retry_interval_millis` `name` `new_cluster` `notebook_task` `notification_settings` `parameters` `performance_target` `queue` `retry_on_timeout` `run_as` `run_as_user_name` `schedule` `spark_jar_task` `spark_python_task` `spark_submit_task` `tags` `tasks` `timeout_seconds` `trigger` `webhook_notifications`
`delete`	用户删除作业。	`job_id`
`deleteRun`	用户删除运行的作业。	`run_id` `job_id`
`deleteTaskValues`	用户删除了一次任务运行的任务值。	`ids`
`getRunOutput`	用户进行 API 调用以获取运行输出。	`run_id` `is_from_webapp` `notebook_output_limit` `skip_additional_acl_checks`
`repairRun`	用户修复作业任务的运行。	`run_id` `latest_repair_id` `rerun_tasks` `rerun_all_failed_tasks` `rerun_dependent_tasks` `job_parameters`
`reset`	作业已重置。	`job_id` `new_settings`
`resetJobAcl`	用户请求更改作业的权限。	`grants` `job_id`
`runCommand`	在启用详细的审核日志时可用。在作业运行中执行笔记本命令后发出。一个命令对应于笔记本界面中的一个单元格。	`jobId` `runId` `notebookId` `executionTime` `status` `commandId` `commandText` `clusterId` `commandLanguage`
`runFailed`	作业运行失败或已取消。	`jobClusterType` `jobTriggerType` `jobId` `jobTaskType` `runId` `jobTerminalState` `idInJob` `orgId` `runCreatorUserName` `clusterId` `jobRunId` `multitaskParentRunId` `parentRunId` `repairId` `taskDependencies` `taskDependencyType` `taskKey`
`runNow`	用户触发按需作业运行。	`notebook_params` `job_id` `jar_params` `workflow_context` `job_parameters` `idempotency_token` `only` `performance_target` `pipeline_params` `python_params` `queue`
`runStart`	在验证和创建群集后启动作业运行时发出。此事件发出的请求参数取决于作业中的任务类型。除了列出的参数外，它们还可以包括： `dashboardId`（针对 SQL 仪表板任务） `filePath`（针对 SQL 文件任务） `notebookPath`（针对笔记本任务） `mainClassName`（针对 Spark JAR 任务） `pythonFile`（针对 Spark JAR 任务） `projectDirectory`（针对 dbt 任务） `commands`（针对 dbt 任务） `packageName` （对于Python轮任务） `entryPoint` （对于Python轮任务） `pipelineId`（针对管道任务） `queryIds` 用于 SQL 查询任务 `alertId` （用于 SQL 警报任务）	`taskDependencies` `multitaskParentRunId` `orgId` `idInJob` `jobId` `jobTerminalState` `taskKey` `jobTriggerType` `jobTaskType` `runId` `runCreatorUserName`
`runSucceeded`	作业运行成功。	`idInJob` `jobId` `jobTriggerType` `orgId` `runId` `jobClusterType` `jobTaskType` `jobTerminalState` `runCreatorUserName` `clusterId` `jobRunId` `multitaskParentRunId` `parentRunId` `repairId` `taskDependencies` `taskDependencyType` `taskKey`
`runTriggered`	作业调度根据其计划安排或触发器自动进行。	`jobId` `jobTriggeredType` `runId` `jobTriggerType` `runCreatorUserName`
`sendRunWebhook`	在作业开始、完成或失败时发送 Webhook。	`orgId` `jobId` `jobWebhookId` `jobWebhookEvent` `runId`
`setTaskValue`	用户为任务设置值。	`run_id` `key`
`submitRun`	用户通过 API 提交一次性运行。	`run_name` `spark_python_task` `existing_cluster_id` `notebook_task` `timeout_seconds` `libraries` `new_cluster` `spark_jar_task` `access_control_list` `email_notifications` `git_source` `idempotency_token` `run_as` `tasks` `workflow_context`
`update`	用户编辑作业的设置。	`job_id` `fields_to_remove` `new_settings`

Lakeflow Spark 声明式管道事件

这些事件记录在工作区级别。此服务包括与 Lakeflow Spark 声明性管道相关的事件。

这些事件记录在以下deltaPipelines项下service_name。

操作名称	说明	请求参数
`changePipelineAcls`	用户更改对管道的权限。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`create`	用户创建声明性管道。	`allow_duplicate_names` `budget_policy_id` `catalog` `channel` `clusters` `configuration` `continuous` `data_sampling` `dbr_version` `deployment` `development` `dry_run` `edition` `email_notifications` `event_log` `event_log_spec` `filters` `gateway_definition` `id` `ingestion_definition` `libraries` `managed_definition` `name` `notifications` `photon` `pipeline_type` `restart_window` `run_as` `schema` `serverless` `storage` `tags` `target` `trigger`
`delete`	用户删除声明性管道。	`cascade` `pipeline_id`
`edit`	用户编辑声明式管道。	`allow_duplicate_names` `budget_policy_id` `catalog` `channel` `clusters` `configuration` `continuous` `data_sampling` `dbr_version` `deployment` `development` `edition` `email_notifications` `event_log` `event_log_spec` `expected_last_modified` `filters` `gateway_definition` `id` `ingestion_definition` `libraries` `managed_definition` `name` `notifications` `photon` `pipeline_id` `pipeline_type` `restart_window` `run_as` `schema` `serverless` `storage` `tags` `target` `trigger`
`startUpdate`	用户重新启动声明性管道。	`cause` `development` `explore_only` `full_refresh` `full_refresh_selection` `idempotency_token` `job_task` `pipeline_id` `refresh_selection` `reset_checkpoint_selection` `update_cause_details` `usage_policy_id` `validate_only`
`stop`	用户停止声明性管道。	`pipeline_id`

云存储元数据事件

这些事件记录在工作区级别。此服务包括与自动加载程序使用的云存储元数据操作和文件到达触发器相关的事件。

这些事件记录在以下cloudStorageMetadata项下service_name。

操作名称	说明	请求参数
`listObjects`	用户或自动加载作业从云存储位置或 Unity Catalog 卷中获取文件更改的分页列表（新文件、更新的文件或删除的文件）。客户端使用延续令牌逐步获取自上次读取以来已更改的文件。	`uri`：云存储路径 `continuation_token`：来自先前响应的不透明分页标记 `max_objects`：要返回的最大对象数（默认值为 1,000，上限为 10,000） `include_updates`：是否包括更新的对象（而不仅仅是新创建的对象） `include_deletes`：是否包括已删除的对象 `until_continuation_token`：要停止读取的可选上限标记 `omit_objects`：如果为 true，则仅返回不带对象详细信息的计数 `include_oldest_object_age`：是否包含最早列出的对象的年龄 `include_earliest_ingestion_time`：是否包含最早的引入时间戳 `workload_id`：工作负荷标识符 `caller_context_entries`：用于可观测性的调用方提供的上下文 ID（例如，`job_id`，`pipeline_id`，`run_id`）
`validateFileEventsPermissions`	验证是否已为云存储位置上的文件事件通知正确配置凭据和云资源（队列、订阅）。当用户为 Unity 目录中的外部位置启用托管文件通知时调用。	`url`：要验证的云存储路径 `credential_name`：要验证的 Unity 目录存储凭据的名称 `provided_sqs`: 用户提供的 AWS SQS 队列 `provided_aqs`：用户提供的 Azure 队列存储 `provided_pubsub`：用户提供的 GCP Pub/Sub `managed_sqs`：由 Azure Databricks 管理的 AWS SQS `managed_aqs`：由Azure Databricks托管的Azure 队列存储 `managed_pubsub`：Azure Databricks托管的 GCP Pub/Sub

引入事件

以下事件记录在工作区级别，并且与文件上传相关。

这些事件记录在以下ingestion项下service_name。

操作名称	说明	请求参数
`proxyFileUpload`	用户将文件上传到其Azure Databricks工作区。	`x-databricks-content-length-0` `x-databricks-total-files`

世系追踪事件

这些事件记录在工作区级别。此服务包括与数据世系相关的事件。

这些事件记录在以下lineageTracking项下service_name。

操作名称	说明	请求参数
`listColumnLineages`	用户访问某列的上游或下游列的列表。	`table_name` `column_name` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。
`listSecurableLineagesBySecurable`	用户访问某个安全对象的上游或下游安全对象的列表。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。 `metastore_id` `page_size` `page_token` `securable_response_filter` `start_timestamp` `subsecurable_id` `workspace_id`
`listEntityLineagesBySecurable`	用户访问写入或读取安全对象的实体（笔记本、作业等）的列表。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。 `entity_response_filter`：实体类型（笔记本、作业、仪表板、管道、查询、服务终结点等）。 `metastore_id` `page_size` `start_timestamp` `subsecurable_id` `workspace_id`
`getColumnLineages`	用户获取表及其列的列世系。	`table_name` `column_name` `metastore_id` `only_downstream` `only_upstream` `workspace_id`
`getTableEntityLineages`	用户获取表的上游和下游的世系信息。	`table_name` `include_entity_lineage` `include_downstream` `include_upstream` `metastore_id` `workspace_id`
`getJobTableLineages`	用户获取作业的上游和下游表世系。	`job_id` `max_result` `metastore_id` `workspace_id`
`getFunctionLineages`	用户获取函数的上游和下游安全对象和实体（笔记本、任务等）。	`function_name`
`getModelVersionLineages`	用户获取模型及其版本的上游和下游安全对象和实体（笔记本、作业等）。	`model_name` `version` `metastore_id` `workspace_id`
`getEntityTableLineages`	用户可以获取实体（例如笔记本、作业等）的上游表和下游表。	`entity_type` `entity_id` `max_downstreams` `max_upstreams` `metastore_id` `workspace_id`
`getFrequentlyJoinedTables`	用户获取与某表频繁联接的表。	`table_name` `include_columns` `limit_size` `metastore_id` `workspace_id`
`getFrequentQueryByTable`	用户获取针对某表的频繁查询列表。	`source_table_name` `limit_size` `metastore_id` `workspace_id`
`getFrequentUserByTable`	用户获取表的常用用户。	`table_name` `limit_size` `metastore_id` `workspace_id`
`getTablePopularityByDate`	用户获取过去一个月某表的受欢迎程度（查询计数）。	`table_name` `metastore_id` `workspace_id`
`getPopularEntities`	用户获取表的常用实体（笔记本、作业等）。	`scope`：指定用于从工作区或表名称检索常用实体的范围。 `table_name` `limit_size` `metastore_id` `workspace_id`
`getPopularTables`	用户获取有关表的受欢迎程度的信息。	`scope`：指定从元存储或表列表中检索常用表的范围。 `table_name_list` `metastore_id` `workspace_id`
`listCustomLineages`	用户列出实体的自定义世系。	`entity_id` `lineage_direction` `metastore_id` `page_size` `workspace_id`
`listSecurableByEntityEvent`	用户列出与实体事件关联的安全对象。	`entity_id` `entity_type` `lineage_direction` `metastore_id` `page_size` `page_token` `securable_response_filter` `start_timestamp` `workspace_id`

请求访问事件

这些事件记录在工作区级别。此服务包括与访问请求目标（公共预览版）相关的事件。

这些事件记录在以下request-for-access项下service_name。

操作名称	说明	请求参数
`updateAccessRequestDestinations`	用户更新 Unity Catalog 安全对象的访问请求目标位置。	`destinations` `securable`
`getAccessRequestDestinations`	用户获取 Unity 目录安全对象的访问请求目标。	`full_name` `securable_type`
`listDestinations`	用户获取 Unity 目录安全对象的访问请求目标。这是`getAccessRequestDestinations`操作的旧版本。	`securable`
`getStatus`	用户获取 Unity Catalog 安全对象的状态信息。如果至少有一个访问请求目标存在，则访问请求会被视为对 Unity Catalog 安全对象启用。	`securable`
`batchCreateAccessRequests`	用户请求访问一个或多个 Unity 目录安全对象。	`requests`
`requestAccess`	用户请求访问单个 Unity 目录安全对象。这是`batchCreateAccessRequests`操作的旧版本。	`behalf_of` `comment` `privileges` `securable`
`updateDefaultDestinationStatus`	用户更新了工作区级别设置的状态，该设置控制所有 Unity Catalog 安全对象是否分配了默认分配位置。	无
`getDefaultDestinationStatus`	用户获取默认目标设置的状态。	无

Uniform Iceberg REST API 事件

这些事件记录在工作区级别。当用户使用支持 Iceberg REST 目录 API 的外部 Iceberg 兼容的引擎与托管 Apache Iceberg 表交互时，将记录这些事件。

这些事件记录在以下uniformIcebergRestCatalog项下service_name。

操作名称	说明	请求参数
`config`	用户获取目录配置。	`http_method` `http_path`
`createNamespace`	用户创建一个命名空间，其中包含一组可选的属性。	`http_method` `http_path`
`createTable`	用户创建新的 Iceberg 表。	`http_method` `http_path`
`deleteNamespace`	用户删除现有命名空间。	`http_method` `http_path`
`deleteTable`	用户删除现有表。	`http_method` `http_path`
`getNamespace`	用户获取命名空间的属性。	`http_method` `http_path`
`listNamespaces`	用户发出调用以在指定级别列出所有命名空间。	`http_method` `http_path`
`listTables`	用户列出给定命名空间下的所有表。	`http_method` `http_path`
`loadTableCredentials`	用户从目录中加载表的已出售凭据。	`http_method` `http_path`
`loadTable`	用户从目录中加载表。	`http_method` `http_path`
`loadView`	用户从目录中加载视图。	`http_method` `http_path`
`namespaceExists`	用户检查命名空间是否存在。	`http_method` `http_path`
`renameTable`	用户重命名现有表	`http_method` `http_path`
`reportMetrics`	用户发送指标报表	`http_method` `http_path`
`tableExists`	用户检查给定命名空间中是否存在表。	`http_method` `http_path`
`updateNamespaceProperties`	用户更新命名空间的属性。	`http_method` `http_path`
`updateTable`	用户更新表元数据。	`http_method` `http_path`
`viewExists`	用户检查给定命名空间中是否存在视图。	`http_method` `http_path`

DBFS 事件

这些事件记录在工作区级别。此服务包括与 DBFS 相关的事件。

有两种类型的 DBFS 事件：API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 写入时，才会记录这些审核事件。

这些事件记录在以下dbfs项下service_name。

操作名称	说明	请求参数
`addBlock`	用户将数据块追加到流。这与 dbfs/create 结合使用，用于将数据流式传输到 DBFS。	`handle` `data_length`
`close`	用户关闭由输入句柄指定的流。	`handle`
`create`	用户打开流以将文件写入 DBFS。	`path` `bufferSize` `overwrite`
`delete`	用户从 DBFS 中删除文件或目录。	`recursive` `path`
`getStatus`	用户获取文件或目录的信息。	`path`
`mkdirs`	用户创建新的 DBFS 目录。	`path`
`move`	用户将文件从一个位置移动到 DBFS 中的另一个位置。	`dst` `source_path` `src` `destination_path`
`put`	用户通过多部分表单提交文件到 DBFS。	`path` `overwrite`
`read`	用户读取文件的内容。	`path` `offset` `length`

DBFS 操作事件

这些审核事件发生在计算平面上。

这些事件记录在以下dbfs项下service_name。

操作名称	说明	请求参数
`mount`	用户在特定 DBFS 位置创建装入点。	`mountPoint` `owner`
`unmount`	用户移除特定 DBFS 位置的装入点。	`mountPoint`

文件事件

这些事件记录在工作区级别。此服务包括文件管理相关事件，包括使用文件 API 或在磁盘卷 UI 上与文件进行交互操作。

这些事件记录在以下filesystem项下service_name。

操作名称	说明	请求参数
`directoriesDelete`	用户使用文件 API 或卷 UI 删除目录。	`path`
`directoriesGet`	用户使用文件 API 或卷界面列出目录的内容。	`path`
`directoriesHead`	用户使用文件 API 或存储卷 UI 获取有关目录的信息。	`path`
`directoriesPut`	用户通过使用 Files API 或 Volumes UI 创建目录。	`path`
`filesDelete`	用户使用文件 API 或存储卷 UI 删除文件。	`path`
`filesGet`	用户使用文件 API 或卷 UI 下载文件。	`path` `transferredSize`
`filesHead`	用户通过使用 Files API 或 Volumes UI 获取有关文件的信息。	`path`
`filesPut`	用户通过文件 API 或卷界面上传文件。	`path` `receivedSize`

工作区文件事件

这些事件记录在工作区级别。此服务包括与工作区文件相关的事件。

这些事件记录在以下workspaceFiles项下service_name。

操作名称	说明	请求参数
`wsfsStreamingRead`	工作区文件由用户读取，或以编程方式作为工作流的一部分读取。	`path`
`wsfsStreamingWrite`	工作区文件由用户写入，或以编程方式作为工作流的一部分写入。	`path`
`wsfsImportFile`	用户将文件导入工作区。	`path`

代理评估事件

这些事件记录在工作区级别。此服务包括与代理评估相关的事件，包括生产监视、评估数据集和人工评估。

生产监控事件

这些事件与生产监视相关，包括记分器、指标回填和跟踪存档。

这些事件记录在以下agentEvaluation项下service_name。

操作名称	说明	请求参数
`getChatAssessments`	用户请求对代理的回复进行LLM-judge 评估。	`experiment_id` `requested_assessments`
`getChatCompletions`	用户请求 LLM 评估代理响应。例如，调用make_judge创建的评委。	无
`createScheduledScorers`	用户为试验创建记分器。	`experiment_id` `scheduled_scorers.scorers.name` `scheduled_scorers.scorers.sample_rate`
`getScheduledScorers`	用户检索试验的评分器。	`experiment_id`
`updateScheduledScorers`	用户更新实验的评分器。	`experiment_id` `scheduled_scorers.scorers.name` `scheduled_scorers.scorers.sample_rate`
`deleteScheduledScorers`	用户删除试验的记分器。	`experiment_id`
`runMetricBackfill`	用户为试验执行指标回填。	`experiment_id` `start_timestamp_ms` `end_timestamp_ms`
`startTraceArchival`	用户开始对实验进行跟踪归档。	`experiment_id` `archive_table_fullname`
`stopTraceArchival`	用户停止对试验的跟踪存档。	`experiment_id`

用于评估的数据集内的事件

这些事件与评估数据集相关，包括数据集和数据集记录的 CRUD 操作、批处理操作和预期管理。

这些事件记录在以下agentEvaluation项下service_name。

操作名称	说明	请求参数
`createDataset`	用户创建评估数据集。	`dataset.dataset_id` `dataset.name`
`getDataset`	用户检索评估数据集。	`dataset_id`
`listDatasets`	用户列出评估数据集。	`filter` `order_by`
`updateDataset`	用户更新评估数据集。	`dataset_id` `dataset.dataset_id` `dataset.name`
`deleteDataset`	用户删除评估数据集。	`dataset_id`
`createDatasetRecord`	用户在评估数据集中创建记录。	`dataset_id` `dataset_record.dataset_record_id`
`getDatasetRecord`	用户从评估数据集检索记录。	`dataset_id` `dataset_record_id`
`listDatasetRecords`	用户列出评估数据集中的记录。	`dataset_id`
`updateDatasetRecord`	用户更新评估数据集中的记录。	`dataset_id` `dataset_record_id` `dataset_record.dataset_record_id`
`deleteDatasetRecord`	用户从评估数据集中删除记录。	`dataset_id` `dataset_record_id`
`batchCreateDatasetRecords`	用户在单个批处理操作中的评估数据集中创建多个记录。	`dataset_id` `requests.dataset_id` `requests.dataset_record.dataset_record_id`
`upsertExpectations`	用户在评估数据集中更新或插入记录的预期。	`dataset_id` `dataset_record_id`

综合数据生成事件

这些事件与综合评估数据生成相关。

这些事件记录在以下agentEvaluation项下service_name。

操作名称	说明	请求参数
`generateQuestions`	用户生成用于评估的综合问题。	`experiment_id` `instance_id` `num_questions`
`generateAnswer`	用户生成用于评估的合成答案。	`answer_types` `experiment_id` `instance_id`

查看应用事件

这些事件与查看应用进行人工评估相关，包括评审应用管理、标记会话和项管理。

这些事件记录在以下agentEvaluation项下service_name。

操作名称	说明	请求参数
`createReviewApp`	用户创建用于人工评估的评审应用。	`review_app.experiment_id` `review_app.review_app_id`
`getReviewApp`	用户检索审阅应用。	`review_app_id`
`listReviewApps`	用户列出审阅应用。	无
`updateReviewApp`	用户对审阅应用进行更新。	`review_app.experiment_id` `review_app.review_app_id` `review_app_id`
`createLabelingSession`	用户在审阅应用中创建标记会话。	`labeling_session.labeling_session_id` `labeling_session.mlflow_run_id` `labeling_session.name` `review_app_id`
`getLabelingSession`	用户从审阅应用检索标注会话。	`labeling_session_id` `review_app_id`
`listLabelingSessions`	用户在审阅应用中列出标记会话。	`review_app_id`
`updateLabelingSession`	用户在审阅应用程序中更新标签会话。	`labeling_session.labeling_session_id` `labeling_session.mlflow_run_id` `labeling_session.name` `labeling_session_id` `review_app_id`
`deleteLabelingSession`	用户从审阅应用中删除标注会话。	`review_app_id` `labeling_session_id`
`batchCreateItems`	用户在单个批处理操作的标记会话中创建多个项。	`items.item_id` `labeling_session_id` `review_app_id`
`getItem`	用户从标记会话中检索项。	`review_app_id` `labeling_session_id` `item_id`
`listItems`	用户在标记会话中列出项。	`labeling_session_id` `review_app_id`
`updateItem`	用户更新标记会话中的项。	`review_app_id` `labeling_session_id` `item_id` `item.item_id`
`batchDeleteItems`	用户在单个批处理操作中从标记会话中删除多个项。	`review_app_id` `labeling_session_id` `item_ids`

MLflow 试验事件

这些事件记录在工作区级别。此服务包括与 MLflow 试验相关的事件。

这些事件记录在以下mlflowExperiment项下service_name。

操作名称	说明	请求参数
`createMlflowExperiment`	用户创建 MLflow 实验。	`experimentId` `path` `experimentName`
`deleteMlflowExperiment`	用户删除 MLflow 实验。	`experimentId` `path` `experimentName`
`moveMlflowExperiment`	用户移动 MLflow 实验。	`newPath` `experimentId` `oldPath`
`restoreMlflowExperiment`	用户还原 MLflow 实验。	`experimentId` `path` `experimentName`
`renameMlflowExperimentEvent`	用户重命名 MLflow 实验。	`oldName` `newName` `experimentId` `parentPath`

具有 ACL 事件的 MLflow 工件

这些事件记录在工作区级别。此服务包含与拥有 ACL 的 MLflow 工件相关的事件。

这些事件记录在以下mlflowAcledArtifact项下service_name。

操作名称	说明	请求参数
`readArtifact`	用户进行调用以读取项目。	`artifactLocation` `experimentId` `runId`
`writeArtifact`	用户进行调用以写入到项目。	`artifactLocation` `experimentId` `runId`

MLflow 模型注册表事件

这些事件记录在工作区级别。此服务包括与工作区模型注册表相关的事件。有关 Unity 目录中模型的活动日志，请参阅 Unity 目录事件。

这些事件记录在以下modelRegistry项下service_name。

操作名称	说明	请求参数
`approveTransitionRequest`	用户批准模型版本阶段转换请求。	`name` `version` `stage` `archive_existing_versions` `comment`
`changeRegisteredModelAcl`	用户更新已注册模型的权限。	`registeredModelId` `userId` `aclPermissionSet` `resourceId` `shardName` `targetUserId`
`createComment`	用户发布对模型版本的注释。	`name` `version`
`createModelVersion`	用户创建模型版本。	`name` `source` `run_id` `tags` `run_link`
`createRegisteredModel`	用户创建新的已注册模型	`name` `tags` `description`
`createRegistryWebhook`	用户为模型注册事件创建网络钩子。	`orgId` `registeredModelId` `events` `description` `status` `creatorId` `httpUrlSpec`
`createTransitionRequest`	用户创建模型版本阶段转换请求。	`name` `version` `stage` `comment`
`deleteComment`	用户删除对模型版本的注释。	`id`
`deleteModelVersion`	用户删除模型版本。	`name` `version`
`deleteModelVersionTag`	用户删除模型版本标记。	`name` `version` `key`
`deleteRegisteredModel`	用户删除已注册模型	`name`
`deleteRegisteredModelTag`	用户删除已注册模型的标签。	`name` `key`
`deleteRegistryWebhook`	用户删除模型注册表的 Webhook。	`orgId` `webhookId`
`deleteTransitionRequest`	用户取消模型版本阶段转换请求。	`name` `version` `stage` `creator`
`finishCreateModelVersionAsync`	已完成异步模型复制。	`name` `version`
`generateBatchInferenceNotebook`	批处理推理笔记本是自动生成的。	`userId` `orgId` `modelName` `inputTableOpt` `outputTablePathOpt` `stageOrVersion` `modelVersionEntityOpt` `notebookPath`
`generateDltInferenceNotebook`	声明性管道的推理过程笔记本已自动生成。	`userId` `orgId` `modelName` `inputTable` `outputTable` `stageOrVersion` `notebookPath` `input_table` `name` `output_table` `stage` `version`
`getModelVersionDownloadUri`	用户获取用于下载模型版本的 URI。	`name` `version`
`getModelVersionSignedDownloadUri`	用户获取用于下载已签名模型版本的 URI。	`name` `version` `path`
`listModelArtifacts`	用户进行调用以列出模型的构件。	`name` `version` `path` `page_token`
`listRegistryWebhooks`	用户进行调用以列出模型中的所有注册表 Webhook。	`orgId` `registeredModelId`
`rejectTransitionRequest`	用户拒绝模型版本阶段转换请求。	`name` `version` `stage` `comment`
`renameRegisteredModel`	用户重命名已注册模型	`name` `new_name`
`setEmailSubscriptionStatus`	用户更新已注册模型的电子邮件订阅状态	`model_name` `subscription_type`
`setModelVersionTag`	用户设置模型版本标记。	`name` `version` `key` `value`
`setRegisteredModelTag`	用户设置模型版本标记。	`name` `key` `value`
`setUserLevelEmailSubscriptionStatus`	用户更新整个注册表的电子邮件通知状态。	`orgId` `userId` `subscriptionStatus` `subscription_type`
`testRegistryWebhook`	用户测试模型注册表的 Webhook。	`orgId` `webhookId`
`transitionModelVersionStage`	用户获取模型版本的所有开放阶段转换请求的列表。	`name` `version` `stage` `archive_existing_versions` `comment`
`triggerRegistryWebhook`	模型注册表的 webhook 通过事件被触发。	`orgId` `registeredModelId` `events` `status`
`updateComment`	用户对模型版本的评论进行编辑。	`id`
`updateRegistryWebhook`	用户更新模型注册表的 Webhook。	`orgId` `webhookId`

特征存储事件

这些事件记录在工作区级别。此服务包括与 Databricks 功能存储相关的事件。

这些事件记录在以下featureStore项下service_name。

操作名称	说明	请求参数
`addConsumer`	使用者已添加到特征存储。	`features` `job_run` `notebook`
`addDataSources`	数据源已添加到特征表。	`feature_table` `paths` `tables`
`addProducer`	生产者已添加到功能表。	`feature_table` `job_run` `notebook` `producer_action`
`changeFeatureTableAcl`	特征表中的权限已发生更改。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`createFeatureSpec`	创建了一项功能规范。	`feature_spec_yaml` `name`
`createFeatureTable`	已创建特征表。	`description` `is_imported` `name` `partition_keys` `primary_keys` `timestamp_keys`
`createFeatures`	特征在特征表中创建。	`feature_table` `features`
`deleteFeatureTable`	已删除特征表。	`dry_run` `name`
`deleteTags`	已从特征表中删除标记。	`feature_table_id` `keys`
`generateFeatureSpecYaml`	生成一个功能规范的 YAML 文件。	`exclude_columns` `feature_spec_yaml` `features` `input_columns`
`getBrickstoreOnlineTableMetadata`	用户获取 Brickstore 在线表元数据。	`feature_table_features`
`getConsumers`	用户进行调用以获取特征表中的使用者。	`feature_table`
`getFeatureStoreWidePermissions`	用户获得整个功能商店的权限。	无
`getFeatureTable`	用户进行调用以获取特征表。	`exclude_online_stores` `include_producers` `name`
`getFeatureTablesById`	用户进行调用以获取特征表 ID。	`ids`
`getFeatures`	用户拨打电话以获取功能。	`feature_table` `max_results`
`getModelServingMetadata`	用户进行调用以获取模型服务元数据。	`feature_table_features`
`getOnlineFeatureTables`	用户获取在线功能表。	`create_if_not_exist` `feature_table_features` `include_brickstore` `is_v1_serving`
`getOnlineStore`	用户拨打电话以获取网店详情。	`cloud` `feature_table` `online_table` `store_type`
`getOnlineStores`	用户获取在线商店。	`feature_tables`
`getTags`	用户进行调用以获取特征表的标记。	`feature_table_id`
`logFeatureStoreClientEvent`	功能存储客户端事件已被记录。	`aggregate_features` `create_materialized_view`
`publishFeatureTable`	已发布特性表。	`cloud` `feature_table` `host` `online_table` `port` `read_secret_prefix` `store_type` `write_secret_prefix`
`searchFeatureTables`	用户搜索特征表。	`catalog_names` `exclude_online_stores` `is_multi_catalog` `max_results` `owner_ids` `page_token` `search_scopes` `sort_order` `text`
`setTags`	已将标记添加到特征表。	`feature_table_id` `tags`
`updateFeatureTable`	已更新特征表。	`description` `name`

Unity 目录 HTTP 连接事件

当请求通过 Unity 目录 HTTP 连接进行代理（例如调用外部函数或连接到外部 MCP 服务器时）时，这些事件将记录在工作区级别。

这些事件记录在以下ucHttpConnection项下service_name。

操作名称	说明	请求参数
`ucHttpConnectionProxiedRequest`	请求被代理，通过 Unity Catalog 的 HTTP 连接连接到外部终结点。	`auth_type` `connection_id` `connection_name` `http_method`

Databricks SQL 事件

这些事件记录在工作区级别。此服务包括与 Databricks SQL 相关的事件。

注意

如果使用旧版 SQL 终结点 API 管理 SQL 仓库，SQL 仓库审核事件将具有不同的操作名称。请参阅 SQL 终结点日志。

这些事件记录在以下databrickssql项下service_name。

操作名称	说明	请求参数
`cancelQueryExecution`	在 SQL 编辑器的 UI 中取消了查询执行。这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。	`queryExecutionId`：仅在使用旧版 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。
`changeEndpointAcls`	仓库管理员更新对 SQL 仓库的权限。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`cloneFolderNode`	用户在工作区浏览器中克隆文件夹。	`dashboardId`
`commandFinish`	仅在详细的审核日志中。在 SQL 仓库上的命令完成或取消时生成，无论取消请求的来源如何。	`warehouseId` `commandId`
`commandSubmit`	仅在详细的审核日志中。在命令提交到 SQL 仓库时生成，无论请求的来源如何。	`warehouseId` `commandId` `validation` `commandText` `commandParameters`
`createAlert`	用户创建旧警报。	`alertId` `queryId`
`createQuery`	用户新建查询。	`queryId`
`getQuery`	用户在 SQL 编辑器页中打开查询，或调用 Databricks SQL 获取查询 API。仅当使用旧版 SQL 编辑器或 Databricks SQL REST API 时发出。	`queryId`
`createQueryDraft`	用户创建查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`createQuerySnippet`	用户创建查询片段。	`querySnippetId`
`createVisualization`	用户使用 SQL 编辑器生成可视化效果。排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。仅当使用旧版 SQL 编辑器时发出。	`queryId` `visualizationId`
`createWarehouse`	具有群集创建权利的用户创建 SQL 仓库。	`auto_resume` `auto_stop_mins` `channel` `warehouse_type` `cluster_size` `conf_pairs` `custom_cluster_confs` `enable_databricks_compute` `enable_photon` `enable_serverless_compute` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `size` `tags` `test_overrides`
`deleteAlert`	用户通过 API 删除旧警报。排除从文件浏览器 UI 或旧版警报界面进行的删除。	`alertId`
`deleteNotificationDestination`	工作区管理员删除通知目标。	`notificationDestinationId`
`deleteWarehouse`	仓库管理员删除 SQL 仓库。	`id`
`deleteQuery`	用户通过查询界面或 API 删除查询。通过文件浏览器 UI 排除删除操作。	`queryId`
`deleteQueryDraft`	用户删除查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`deleteQuerySnippet`	用户删除查询片段。	`querySnippetId`
`deleteVisualization`	用户从 SQL 编辑器的查询中删除可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`
`downloadQueryResult`	用户从 SQL 编辑器下载查询结果。从仪表板中排除下载项。	`fileType` `queryId` `queryResultId`：仅在使用旧版 SQL 编辑器时发出。 `credentialsEmbedded` `credentialsEmbeddedId`
`editWarehouse`	仓库管理员编辑 SQL 仓库。	`auto_stop_mins` `channel` `warehouse_type` `cluster_size` `confs` `enable_photon` `enable_serverless_compute` `id` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `tags`
`executeAdhocQuery`	由下列项之一生成：用户在 SQL 编辑器中运行查询草稿从可视化效果聚合执行查询用户加载仪表板并执行基础查询	`dataSourceId`：仅在使用旧版 SQL 编辑器时发出。等效于 SQL 仓库 ID。 `warehouse_id`：仅在使用新的 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。对应于新 SQL 编辑器中的当前查询文本，该文本可能与原始保存的查询等效。
`executeSavedQuery`	用户运行保存的查询。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`favoriteQuery`	用户收藏查询。	`queryId`
`forkQuery`	用户克隆查询。	`originalQueryId` `queryId`
`getAlert`	用户打开旧警报的详细信息页或调用旧版获取警报 API。	`id`：警报的 ID
`getHistoryQueriesByLookupKeys`	用户使用查找键获取一个或多个查询执行的详细信息。	`lookup_keys` `include_metrics`
`getHistoryQuery`	用户使用 UI 获取查询执行的详细信息。	`id` `queryId` `include_metrics` `include_plans` `include_json_plans`
`listHistoryQueries`	用户打开查询历史记录页或调用查询历史记录列表查询 API。	`filter_by` `include_metrics` `max_results` `page_token` `order_by`
`moveAlertToTrash`	用户使用 API 将旧警报移动到回收站。排除从文件浏览器 UI 或旧版警报界面进行的删除。	`alertId`
`moveQueryToTrash`	用户将查询移动到回收站。	`queryId` `treestoreId`：仅当使用新的 SQL 编辑器且无法返回有效 `queryId` 时发出。
`restoreAlert`	用户将旧警报从回收站还原。	`alertId`
`restoreQuery`	用户从回收站恢复查询。	`queryId`
`setWarehouseConfig`	工作区管理员更新其工作区的 SQL 仓库设置，包括配置参数和数据访问属性。	`data_access_config` `enable_serverless_compute` `instance_profile_arn` `security_policy` `serverless_agreement` `sql_configuration_parameters`
`startWarehouse`	SQL 仓库已启动。	`id`
`stopWarehouse`	仓库管理员停止 SQL 仓库。排除自动停止的仓库。	`id`
`transferObjectOwnership`	工作区管理员通过转移对象所有权 API 将仪表板、查询或旧警报的所有权转移到活动用户。此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。	`newOwner` `objectId` `objectType`
`unfavoriteQuery`	用户从其收藏夹中移除查询。	`queryId`
`updateAlert`	用户对旧警报进行更新。 `ownerUserName` 会在通过 API 转移旧警报所有权时填充。	`alertId` `queryId` `ownerUserName`
`updateNotificationDestination`	工作区管理员对通知目标进行更新。	`notificationDestinationId`
`updateFolderNode`	用户在工作区浏览器中更新文件夹节点。	`name`
`updateOrganizationSetting`	工作区管理员对工作区的 SQL 设置进行更新。	`has_configured_data_access` `has_explored_sql_warehouses` `has_granted_permissions` `hide_plotly_mode_bar` `send_email_on_failed_dashboards` `allow_downloads`
`updateQuery`	用户对查询进行更新。如果使用 API 转移查询所有权，则会填充 `ownerUserName`。	`queryId` `ownerUserName`
`updateQueryDraft`	用户对查询草稿进行更新。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`updateQuerySnippet`	用户对查询片段进行更新。	`querySnippetId`
`updateVisualization`	用户从 SQL 编辑器更新可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`

笔记本事件

这些事件记录在工作区级别。此服务包括与笔记本相关的事件。

这些事件记录在以下notebook项下service_name。

操作名称	说明	请求参数
`attachNotebook`	笔记本电脑已附加到计算群集。还会在将新的 SQL 编辑器附加到 SQL 仓库时发出。	`path` `clusterId` `notebookId`
`cloneNotebook`	用户克隆笔记本。	`notebookId` `path` `clonedNotebookId` `destinationPath`
`createFolder`	创建笔记本文件夹。	`path`
`createNotebook`	已创建笔记本。	`notebookId` `path`
`deleteFolder`	已删除笔记本文件夹。	`path`
`deleteNotebook`	已删除笔记本。	`notebookId` `notebookName` `path`
`deleteRepo`	删除存储库。	`path`
`detachNotebook`	笔记本与集群分离。还会在从 SQL 仓库拆离新的 SQL 编辑器时发出。	`notebookId` `clusterId` `path`
`downloadLargeResults`	用户下载的查询结果太大，无法显示在笔记本中。当使用新的 SQL 编辑器下载查询结果时也会发出。	`notebookId` `notebookFullPath` `commandId` `fileType`
`downloadPreviewResults`	用户从笔记本或新的 SQL 编辑器下载查询结果。当用户查看上一个结果的执行历史记录时也发出。如果日志来自视图， `fileType` 则设置为 `json`.	`notebookId` `notebookFullPath` `commandId` `fileType` `statementId`：仅当用户查看上一个执行历史记录的结果时发出。
`importNotebook`	用户导入笔记本。	`path` `workspaceExportFormat`
`modifyNotebook`	笔记本已修改。	`notebookId` `path`
`moveFolder`	笔记本文件夹已从一个位置移动到另一个位置。	`oldPath` `newPath` `folderId`
`moveNotebook`	笔记本电脑已从一个位置移动到另一个位置。	`newPath` `oldPath` `notebookId`
`openNotebook`	用户使用 UI 打开笔记本。	`notebookId` `path`
`renameFolder`	笔记本文件夹已重命名。	`folderId` `newName` `oldName` `parentPath`
`renameNotebook`	笔记本已重命名。	`newName` `oldName` `parentPath` `notebookId`
`restoreFolder`	删除的文件夹已还原。	`path`
`restoreNotebook`	删除的笔记本已还原。	`path` `notebookId` `notebookName`
`restoreRepo`	已删除的存储库已还原。	`path`
`runCommand`	在启用详细的审核日志时可用。 Databricks 在笔记本或新的 SQL 编辑器中运行命令后会发出信号。命令对应于笔记本中的单元格或新 SQL 编辑器中的查询文本。 `executionTime` 以秒为度量单位。	`notebookId` `executionTime` `status` `commandId` `commandText` `commandLanguage`
`submitCommand`	在提交命令以便在笔记本或新的 SQL 编辑器中执行时生成。命令对应于笔记本中的单元格或新 SQL 编辑器中的查询文本。	`notebookId` `commandId` `clusterId` `commandLanguage` `commandText` （仅在启用详细审核日志时可用）
`takeNotebookSnapshot`	在运行任务服务或 mlflow 时拍摄笔记本的快照。	`path`

Git 文件夹事件

这些事件记录在工作区级别。此服务包括与 Databricks Git 文件夹相关的事件。另请参阅 gitCredentials。

这些事件记录在以下repos项下service_name。

操作名称	说明	请求参数
`checkoutBranch`	用户检出代码库中的分支。	`id` `branch`
`commitAndPush`	用户提交并推送到存储库。	`id` `message` `files` `checkSensitiveToken`
`createRepo`	用户在工作区中创建存储库	`url` `provider` `path`
`deleteRepo`	用户删除存储库。	`id`
`discard`	用户丢弃提交到仓库的更改。	`id` `file_paths`
`getRepo`	用户进行调用以获取有关单个存储库的信息。	`id`
`listRepos`	用户进行调用以获取他们对其拥有管理权限的所有存储库。	`path_prefix` `next_page_token`
`pull`	用户从存储库拉取最新提交。	`id`
`updateRepo`	用户将存储库更新到不同的分支或标记，或更新到同一分支上的最新提交。	`id` `branch` `tag` `git_url` `git_provider`

Git 凭据事件

这些事件记录在工作区级别。此服务包括与 Databricks Git 文件夹的 Git 凭据相关的事件。

这些事件记录在以下gitCredentials项下service_name。

操作名称	说明	请求参数
`createGitCredential`	用户创建 git 凭据。	`git_provider` `git_username`
`deleteGitCredential`	用户删除 git 凭据。	`id`
`getGitCredential`	用户获取 git 凭据。	`id`
`linkGitProvider`	用户关联 Git 提供商。	`git_provider` `principal_id`
`listGitCredentials`	用户列出所有 git 凭据	`principal_id`
`updateGitCredential`	用户更新 git 凭据。	`id` `git_provider` `git_username`

全局初始化脚本事件

这些事件记录在工作区级别。此服务包括与全局初始化脚本相关的事件。

这些事件记录在以下globalInitScripts项下service_name。

操作名称	说明	请求参数
`batch-reorder`	工作区管理员对全局初始化脚本进行重新排序。	`script_ids`
`create`	工作区管理员创建全局初始化脚本。	`name` `position` `script-SHA256` `enabled`
`update`	工作区管理员更新全局初始化脚本。	`script_id` `name` `position` `script-SHA256` `enabled`
`delete`	工作区管理员删除全局初始化脚本。	`script_id`

远程历史记录服务事件

这些事件记录在工作区级别。此服务包括与添加和删除GitHub凭据相关的事件。

这些事件记录在以下RemoteHistoryService项下service_name。

操作名称	说明	请求参数
`addUserGitHubCredentials`	用户添加 Github 凭据	无
`deleteUserGitHubCredentials`	用户删除 Github 凭据	无
`updateUserGitHubCredentials`	用户更新 GitHub 认证信息	无

工作区事件

这些事件记录在工作区级别。此服务包括与工作区管理相关的事件。

这些事件记录在以下workspace项下service_name。

操作名称	说明	请求参数
`addPermissionAssignment`	帐户管理员将主体添加到工作区。	`principal_id` `account_id` `workspace_id`
`changeWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `aclPermissionSet` `resourceId`
`deletePermissionAssignment`	工作区管理员从工作区中删除主体。	`principal_id` `account_id` `workspace_id`
`deleteSetting`	已从工作区中删除设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName`
`fileCreate`	用户在工作区中创建文件。	`path`
`fileDelete`	用户删除工作区中的文件。	`path`
`fileEditorOpenEvent`	用户打开文件编辑器。	`notebookId` `path`
`getPermissionAssignment`	帐户管理员获取工作区的权限分配。	`account_id` `workspace_id`
`getRoleAssignment`	用户获取工作区的角色权限。	`account_id` `workspace_id`
`mintOAuthAuthorizationCode`	在工作区级别生成内部 OAuth 授权代码时记录。	`client_id`
`mintOAuthToken`	已为工作区创建 OAuth 令牌。	`grant_type` `scope` `expires_in` `client_id`
`moveWorkspaceNode`	工作区管理员移动工作区节点。	`destinationPath` `path`
`purgeWorkspaceNodes`	工作区管理员清除工作区节点。	`treestoreId`
`reattachHomeFolder`	重新将现有的用户主目录关联到重新加入工作区的用户。	`path`
`renameWorkspaceNode`	工作区管理员重命名工作区节点。	`path` `destinationPath`
`unmarkHomeFolder`	从工作区中移除用户时，会同时移除主文件夹特殊属性。	`path`
`updateRoleAssignment`	工作区管理员更新工作区用户的角色。	`account_id` `workspace_id` `principal_id` `role`
`updatePermissionAssignment`	工作区管理员将主体添加到工作区。	`principal_id` `permissions`
`setSetting`	工作区管理员配置工作区设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`workspaceConfEdit`	工作区管理员对设置进行更新，例如启用详细的审核日志。	`workspaceConfKeys` `workspaceConfValues`
`workspaceExport`	用户从工作区中导出笔记本。	`workspaceExportDirectDownload` `workspaceExportFormat` `notebookFullPath`
`workspaceInHouseOAuthClientAuthentication`	OAuth 客户端在工作区服务中进行身份验证。	`user`

机密事件

这些事件记录在工作区级别。此服务包括与机密相关的事件。

这些事件记录在以下secrets项下service_name。

操作名称	说明	请求参数
`createScope`	用户创建机密范围。	`scope` `initial_manage_principal` `scope_backend_type`
`deleteAcl`	用户删除机密范围的 ACL。	`scope` `principal`
`deleteScope`	用户删除机密范围。	`scope`
`deleteSecret`	用户从范围中删除机密。	`key` `scope`
`getAcl`	用户获得秘密范围的 ACL列表。	`scope` `principal`
`getSecret`	用户从范围中获取密钥。	`key` `scope`
`listAcls`	用户进行调用以列出机密范围的 ACL。	`scope`
`listScopes`	用户进行调用以列出机密范围	无
`listSecrets`	用户发起调用以列出范围中的密钥。	`scope`
`putAcl`	用户更改秘密范围的访问控制列表 (ACL)。	`scope` `principal` `permission`
`putSecret`	用户在范围中添加或编辑密钥。	`string_value` `key` `scope`

SSH 事件

这些事件记录在工作区级别。此服务包括与 SSH 访问相关的事件。

这些事件记录在以下ssh项下service_name。

操作名称	说明	请求参数
`login`	代理通过 SSH 登录到 Spark 驱动程序。	`containerId` `userName` `port` `publicKey` `instanceId`
`logout`	代理通过 SSH 从 Spark 驱动程序注销。	`userName` `containerId` `instanceId`

Web控制台事件

这些事件记录在工作区级别。此服务包括与 Web 终端功能相关的事件。

这些事件记录在以下webTerminal项下service_name。

操作名称	说明	请求参数
`startSession`	用户启动 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`
`closeSession`	用户关闭 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`

Webhook 事件

这些事件记录在工作区级别。此服务包括与通知目标相关的事件。

这些事件记录在以下webhookNotifications项下service_name。

操作名称	说明	请求参数
`createWebhook`	管理员创建新的通知目标。	`name` `options` `type`
`deleteWebhook`	管理员删除通知目标。	`id`
`getWebhook`	用户使用 UI 或 API 查看有关通知目标的信息。	`id`
`notifyWebhook`	将触发 Webhook 并将通知有效负载发送到目标 URL。	`body` `id`
`testWebhook`	为验证配置并确保能够成功接收通知，将测试负载发送至 Webhook URL。	`id`
`updateWebhook`	管理员更新通知目标。	`name` `options` `type`

帐户级服务

以下服务在帐户级别记录审核事件。

帐户级身份验证事件

这些事件与帐户控制台身份验证相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`accountInHouseOAuthClientAuthentication`	OAuth 客户端已经过身份验证。	`endpoint` `user`：记录为电子邮件地址 `authenticationMethod`
`accountLoginCodeAuthentication`	对用户帐户登录代码进行身份验证。	`user`
`accountlessToAccountLoginAuthentication`	用户通过无帐户到帐户升级流登录。	`user` `authenticationMethod`
`deletePasskeyCredential`	用户删除密钥凭据。	`credential_id`
`deleteTotpCredential`	用户删除 TOTP 验证器应用设置密钥。
`login`	用户登录到帐户控制台。	`user` `authenticationMethod`
`logout`	用户从账户管理控制台登出。	`user`
`mfaLogin`	用户使用多重身份验证登录到帐户控制台。	`user` `authenticationMethod`
`mintOAuthAuthorizationCode`	在帐户级别模拟内部 OAuth 授权代码时记录。	`client_id`
`mintOAuthToken`	帐户级 OAuth 令牌颁发给服务主体。	`grant_type` `scope` `expires_in` `client_id`
`multiFactorAuthenticationLogin`	用户使用多重身份验证登录到帐户控制台。	`user` `authenticationMethod`
`multiFactorAuthenticationUpdateUserAuthPolicy`	用户的多重身份验证策略已更新。	`user_mfa_state` `user_id`
`oidcBrowserLogin`	用户使用 OpenID Connect 浏览器工作流登录到其帐户。	`user`
`oidcTokenAuthorization`	OIDC 令牌经过身份验证以用于帐户管理员登录。	`user` `authenticationMethod`
`registerPasskeyCredential`	用户注册用于多重身份验证的密钥凭据。
`registerTotpCredential`	用户注册 TOTP 验证器应用凭据进行多重身份验证。
`skipRegistration`	用户跳过多重身份验证注册。
`tokenLogin`	用户使用令牌登录到 Databricks。	`tokenId` `user` `authenticationMethod`

帐户级用户和组管理事件

这些事件与帐户级用户和组管理相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`activateUser`	用户在被停用后重新被激活。请参阅停用帐户中的用户。	`targetUserName` `endpoint` `targetUserId`
`add`	用户已被添加到 Azure Databricks 帐户。	`targetUserName` `endpoint` `targetUserId`
`addPrincipalToGroup`	用户将添加到帐户级组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`addPrincipalsToGroup`	已使用 SCIM 预配将用户添加到帐户级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`createGroup`	已创建帐户级别组。	`endpoint` `targetGroupId` `targetGroupName`
`deactivateUser`	停用用户。请参阅停用帐户中的用户。	`targetUserName` `endpoint` `targetUserId`
`delete`	已从 Azure Databricks 帐户中删除用户。	`targetUserId` `targetUserName` `endpoint`
`removeAccountAdmin`	帐户管理员移除其他用户的帐户管理员权限。	`targetUserName` `endpoint` `targetUserId`
`removeGroup`	已从帐户中移除组。	`targetGroupId` `targetGroupName` `endpoint`
`removePrincipalFromGroup`	用户已被移除出帐户级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`removePrincipalsFromGroup`	已使用 SCIM 预配从帐户级别组移除用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `targetUserName`
`setAccountAdmin`	帐户管理员将帐户管理员角色分配给另一个用户。	`targetUserName` `endpoint` `targetUserId`
`updateGroup`	帐户管理员更新帐户级别组。	`endpoint` `targetGroupId` `targetGroupName`
`updateUser`	帐户管理员更新用户帐户。	`targetUserName` `endpoint` `targetUserId` `targetUserExternalId`
`usernameDomainDenied`	用户注册尝试被拒绝，因为不允许电子邮件域。	`targetUserName`
`validateEmail`	当用户在创建帐户后验证其电子邮件时。	`endpoint` `targetUserName` `targetUserId`

帐户级令牌和设置事件

这些事件与令牌管理和帐户设置相关。

这些事件记录在以下accounts项下service_name。

操作名称	说明	请求参数
`accountIpAclsValidationFailed`	IP 权限验证失败。返回 statusCode 403。	`sourceIpAddress` `user`：记录为电子邮件地址
`deleteSetting`	帐户管理员从 Azure Databricks 帐户中移除设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`garbageCollectDbToken`	用户对过期的令牌运行垃圾回收命令。	`tokenExpirationTime` `tokenClientId` `userId` `tokenCreationTime` `tokenFirstAccessed` `tokenHash`
`generateDbToken`	用户可以在“用户设置”中生成令牌，或者在服务生成令牌时生成。	`tokenExpirationTime` `tokenCreatedBy` `tokenHash` `userId`
`setSetting`	帐户管理员更新帐户级别设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`

服务主体凭据事件

这些事件记录在帐户级别。这些事件与服务凭据相关。

这些事件记录在以下servicePrincipalCredentials项下service_name。

操作名称	说明	请求参数
`create`	帐户管理员为服务主体生成 OAuth 机密。	`account_id` `service_principal` `secret_id` `lifetime`
`list`	帐户管理员列出了服务主体下的所有 OAuth 机密。	`account_id` `service_principal`
`delete`	帐户管理员删除服务主体的 OAuth 机密。	`account_id` `service_principal` `secret_id`

无服务器预算策略事件

这些事件记录在帐户级别，与无服务器预算策略相关。请参阅使用无服务器使用策略的属性使用情况。

这些事件记录在以下budgetPolicyCentral项下service_name。

操作名称	说明	请求参数
`createBudgetPolicy`	工作区管理员或计费管理员创建无服务器预算策略。新 `policy_id` 记录在 `response` 列中。	`policy_name`
`updateBudgetPolicy`	工作区管理员、计费管理员或策略管理器更新无服务器预算策略。	`policy.policy_id` `policy.policy_name`
`deleteBudgetPolicy`	工作区管理员、计费管理员或策略管理器删除无服务器预算策略。	`policy_id`

Delta Sharing 提供程序事件

这些审核日志事件记录在提供程序的帐户中。接收者执行的操作以 deltaSharing 前缀开头。其中每个日志还包括 request_params.metastore_id、管理共享数据的元存储，以及发起该活动的用户的 ID userIdentity.email。

这些事件记录在以下unityCatalog项下service_name。

操作名称	说明	请求参数
`deltaSharingListShares`	数据接收者请求股份列表。	`options`：此请求提供的分页选项。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingGetShare`	数据接收者请求有关股票份额的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListSchemas`	数据接收者请求共享架构的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `options`：此请求提供的分页选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListAllTables`	数据接收者请求所有共享表的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListTables`	数据接收者请求共享表的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `options`：此请求提供的分页选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingGetTableMetadata`	数据接收者请求有关表元数据的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `predicateHints`：查询中包含的谓词。 `limitHints`：要返回的最大行数。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingGetTableVersion`	数据接收者请求有关表版本的详细信息。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingQueryTable`	当数据接收者查询共享表时记录。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `predicateHints`：查询中包含的谓词。 `limitHints`：要返回的最大行数。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingQueryTableChanges`	当数据接收者查询表的更改数据时记录。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `schema`：架构的名称。 `name`：表的名称。 `cdf_options`：更改数据馈送选项。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingQueriedTable`	当数据接收者获取对其查询的响应后记录。该 `response.result` 字段包含有关收件人查询的详细信息	`recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingQueriedTableChanges`	当数据接收者获取对其查询的响应后记录。该 `response.result` 字段包含有关收件人查询的详细信息。	`recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListNotebookFiles`	数据接收者请求共享笔记本文件的列表。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingQueryNotebookFile`	数据接收者查询共享笔记本文件。	`file_name`：笔记本文件的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListFunctions`	数据接收者请求父架构中函数的列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListAllFunctions`	数据接收者请求所有共享函数的列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListFunctionVersions`	数据接收者请求函数版本列表。	`share`：共享的名称。 `schema`：函数的父架构的名称。 `function`：函数的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListVolumes`	数据接收者请求架构中共享卷的列表。	`share`：共享的名称。 `schema`：卷的父架构。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`deltaSharingListAllVolumes`	数据接收者请求所有共享卷。	`share`：共享的名称。 `recipient_name`：表示执行操作的收件人。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则为 true；如果未拒绝请求，则为 false。 `sourceIPaddress` 是收件人 IP 地址。
`updateMetastore`	提供者更新其元存储。	`delta_sharing_scope`：值可以是 `INTERNAL` 或 `INTERNAL_AND_EXTERNAL`。 `delta_sharing_recipient_token_lifetime_in_seconds`：如果存在，则指示收件人令牌生存期已更新。
`createRecipient`	提供者创建数据接收者。	`name`：收件人的姓名。 `comment`：收件人的注释。 `ip_access_list.allowed_ip_addresses:` 接收者 IP 地址允许列表。
`deleteRecipient`	提供者删除数据接收者。	`name`：收件人的姓名。
`getRecipient`	提供者请求有关数据接收者的详细信息。	`name`：收件人的姓名。
`listRecipients`	提供者请求其所有数据接收者的列表。	无
`rotateRecipientToken`	提供者轮换接收者的令牌。	`name`：收件人的姓名。 `comment`：旋转命令中给出的注释。
`updateRecipient`	提供者更新数据接收者的属性。	`name`：收件人的姓名。 `updates`：已从共享添加或删除的收件人属性的 JSON 表示形式。
`createShare`	提供者更新数据接收者的属性。	`name`：共享的名称。 `comment`：共享的注释。
`deleteShare`	提供者更新数据接收者的属性。	`name`：共享的名称。
`getShare`	提供者请求有关共享的详细信息。	`name`：共享的名称。 `include_shared_objects`：请求中是否包含共享的表名。
`updateShare`	提供者添加或移除共享中的数据资产。	`name`：共享的名称。 `updates`：表示数据资产的 JSON 格式，这些数据资产被添加到共享中或从共享中移除。每一项都包含 `action`（添加或移除）、`name`（表的实际名称）、`shared_as`（资产共享时的名称，如果与实际名称不同），以及 `partition_specification`（如果提供了分区规范）。
`listShares`	提供者请求一份他们股份的列表。	无
`getSharePermissions`	提供者请求有关共享权限的详细信息。	`name`：共享的名称。
`updateSharePermissions`	提供者更新共享的权限。	`name`：共享的名称。 `changes`：已更新权限的 JSON 表示形式。每项更改都包含 `principal`（向其授予或撤消权限的用户或组）、`add`（已授予的权限列表）、`remove`（已撤消的权限列表）。
`getRecipientSharePermissions`	提供者请求有关接收者共享权限的详细信息。	`name`：共享的名称。
`getActivationUrlInfo`	提供者请求有关其激活链接上活动的详细信息。	`recipient_name`：打开激活 URL 的收件人的名称。 `is_ip_access_denied`：如果未配置 IP 访问列表，则无。否则，如果拒绝了请求，则值为 `true`；如果未拒绝请求，则值为 `false`。 `sourceIPaddress` 是收件人 IP 地址。
`generateTemporaryVolumeCredential`	将为接收者生成临时凭据以访问共享卷。	`share_name`：收件人通过其提出请求的共享名称。 `share_id`：共享的 ID。 `share_owner`：份额的所有者。 `recipient_name`：请求凭据的收件人的名称。 `recipient_id`：收件人的 ID。 `volume_full_name`：卷的完整 3 级名称。 `volume_id`：卷的 ID。 `volume_storage_location`：卷根的云路径。 `operation`：`READ_VOLUME` 或 `WRITE_VOLUME`。对于卷共享，仅支持 `READ_VOLUME`。 `credential_id`：凭据的 ID。 `credential_type`：凭据的类型。值为 `StorageCredential` 或 `ServiceCredential`。 `credential_kind`：用于授权访问的方法。 `workspace_id`：当请求针对共享卷时，值始终为 `0`。
`generateTemporaryTableCredential`	将为接收者生成临时凭据以访问共享表。	`share_name`：收件人通过其提出请求的共享名称。 `share_id`：共享的 ID。 `share_owner`：份额的所有者。 `recipient_name`：请求凭据的收件人的名称。 `recipient_id`：收件人的 ID。 `table_full_name`：卷的完整 3 级名称。 `table_id`：表的 ID。 `table_url`：表根的云路径。 `operation`：`READ` 或 `READ_WRITE`。 `credential_id`：凭据的 ID。 `credential_type`：凭据的类型。值为 `StorageCredential` 或 `ServiceCredential`。 `credential_kind`：用于授权访问的方法。 `workspace_id`：当请求用于共享表时，值始终为`0`。
`createRecipientOidcPolicy`	供应商为收件人制定 OIDC 联合策略。	`recipient_name` `policy`
`deleteRecipientOidcPolicy`	提供者删除收件人的开放ID连接联合策略。	`recipient_name` `name` `workspace_id` `metastore_id`
`deleteRecipientPolicy`	提供程序删除收件人策略。	`recipient_name` `name` `workspace_id` `metastore_id`
`getRecipientOidcPolicy`	提供者请求有关接收者的 OIDC 联合身份验证策略的详细信息。	`recipient_name` `name` `workspace_id` `metastore_id`
`getRecipientPropertiesByDependentId`	提供程序请求依赖对象的收件人属性。	`dependent` `property_keys` `workspace_id` `metastore_id`
`listRecipientOidcPolicies`	提供者请求接收方的 OIDC 联合策略列表。	`recipient_name` `workspace_id` `metastore_id`
`reconnectRecipientAccount`	提供者重新连接 Databricks 到 Databricks 的收件人帐户。	`recipient` `metastore_id`
`retrieveRecipientToken`	收件人检索其持票人令牌以进行开放共享认证。	`recipient_name` `is_ip_access_denied` `metastore_id`
`deltaSharingGetQueryInfo`	服务提供商请求共享表的查询信息。	`name` `recipient_authentication_type` `recipient_global_metastore_id` `recipient_name` `share_id` `user_agent` `is_ip_access_denied` `share` `schema` `query_id` `share_name` `recipient_id` `workspace_id` `metastore_id`
`deltaSharingReconciliation`	Delta Sharing 执行共享表的对账。	`tableType` `tableDataSourceFormat` `tableUrl` `schemaId` `tableFullName` `accountId` `metastoreId` `securableId` `catalogId` `opType` `workspace_id` `metastore_id`
`addShareToCatalog`	收件人将共享装载到目录。	`catalog_name` `provider_name` `share_name` `workspace_id` `metastore_id`
`listSharesInCatalog`	用户请求目录中已挂载的共享资源列表。	`catalog_name` `workspace_id` `metastore_id`
`removeShareFromCatalog`	接收方从目录中卸载共享。	`catalog_name` `provider_name` `share_name` `workspace_id` `metastore_id`
`listProviderShareAssets`	用户请求提供程序共享中的资产列表。	`provider_name_arg` `share_name_arg` `workspace_id` `metastore_id`
`listInboundSharedNotebookFiles`	收件人请求目录中共享的笔记本文件列表。	`catalog_name` `workspace_id` `metastore_id`
`getInboundSharedNotebookFile`	收件人请求有关共享笔记本文件的详细信息。	`catalog_name` `notebook_file_name_arg` `workspace_id` `metastore_id`
`listSharedCatalogs`	提供程序请求共享目录的列表。	`provider_ids` `workspace_id` `metastore_id`

Delta Sharing 接收方事件

这些事件记录在数据收件人的帐户中。这些事件记录接收者对共享数据和 AI 资产的访问，以及与提供者管理关联的事件。其中每个事件还包括以下请求参数：

recipient_name：数据提供程序系统中接收者的名称。
metastore_id：数据提供程序系统中元存储的名称。
sourceIPAddress：发起请求的 IP 地址。

这些事件记录在以下unityCatalog项下service_name。

操作名称	说明	请求参数
`deltaSharingProxyGetTableVersion`	数据接收者请求有关共享表版本的详细信息。	`share_name`：共享的名称。 `catalog_name`：装载到共享的目录的名称。 `schema`：表的父架构的名称。 `name`：表的名称。
`deltaSharingProxyGetTableMetadata`	数据接收者请求有关共享表元数据的详细信息。	`share_name`：共享的名称。 `catalog_name`：装载到共享的目录的名称。 `schema`：表的父架构的名称。 `name`：表的名称。
`deltaSharingProxyQueryTable`	数据接收者查询共享表。	`share_name`：共享的名称。 `catalog_name`：装载到共享的目录的名称。 `schema`：表的父架构的名称。 `name`：表的名称。 `limitHints`：要返回的最大行数。 `predicateHints`：查询中包含的谓词。 `version`：表版本（如果启用了更改数据馈送）。
`deltaSharingProxyQueryTableChanges`	数据接收者查询表的更改数据。	`share_name`：共享的名称。 `catalog_name`：装载到共享的目录的名称。 `schema`：表的父架构的名称。 `name`：表的名称。 `cdf_options`：更改数据馈送选项。
`createProvider`	数据接收者创建提供者对象。	`name`：供应商的名称。 `comment`：提供者的注释。
`updateProvider`	数据接收者更新提供者对象。	`name`：供应商的名称。 `updates`：在共享中添加或删除的提供程序属性的 JSON 表示形式。每项都包含 `action`（添加或移除），并且可以包含 `name`（新的提供者名称）、`owner`（新的所有者）和 `comment`。
`deleteProvider`	数据接收者删除提供者对象。	`name`：供应商的名称。
`getProvider`	数据接收者请求有关提供者对象的详细信息。	`name`：供应商的名称。
`listProviders`	数据接收者请求提供者列表。	无
`activateProvider`	数据接收者激活提供者对象。	`name`：供应商的名称。
`listProviderShares`	数据接收者请求提供者共享的列表。	`name`：供应商的名称。

Delta 共享 Iceberg 外部客户端事件

重要

此功能目前以公共预览版提供。

这些事件记录在外部 Iceberg 客户端使用 Apache Iceberg REST 目录 API 访问共享数据的帐户级别。若要了解详细信息，请参阅 “启用与外部 Iceberg 客户端共享”。

当外部 Iceberg 客户端（如 Snowflake 或其他非 Databricks 系统）访问共享数据时，将记录这些事件。

这些事件记录在以下dataSharing项下service_name。

操作名称	说明	请求参数
`icebergGetConfig`	外部 Iceberg 客户端请求配置信息。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`
`icebergListNamespaces`	外部 Iceberg 客户端请求命名空间列表。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`
`icebergGetNamespace`	外部 Iceberg 客户端请求有关命名空间的详细信息。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`
`icebergListTables`	外部 Iceberg 客户端请求命名空间中的表列表。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`
`icebergLoadTable`	外部 Iceberg 客户端加载表元数据。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`
`icebergReportMetrics`	外部 Iceberg 客户端报告指标。	`recipient_id` `recipient_name` `recipient_authentication_type` `user_agent` `share_id` `share_name` `namespace_name` `table_name` `metastore_id`

SQL 表访问事件

注意

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储。

这些事件记录在工作区级别。

这些事件记录在以下sqlPermissions项下service_name。

操作名称	说明	请求参数
`changeSecurableOwner`	工作区管理员或对象的所有者转让对象所有权。	`securable` `principal`
`createSecurable`	用户创建安全对象。	`securable`
`denyPermission`	对象所有者拒绝对安全对象的权限。	`permission`
`grantPermission`	对象所有者授予对安全对象的权限。	`permission`
`removeAllPermissions`	用户删除安全对象。	`securable`
`renameSecurable`	用户重命名安全对象。	`before` `after`
`requestPermissions`	用户请求对安全对象的权限。	`requests` `denied` `permitted`
`revokePermission`	对象所有者撤销对其安全对象的权限。	`permission`
`showPermissions`	用户查看安全对象权限。	`securable` `principal`

弃用的日志事件

Databricks 已弃用以下 serverlessRealTimeInference 诊断事件。这些事件与旧版 MLflow 模型服务有关，该服务于 2025 年 9 月 15 日结束。

enable
disable

Databricks 已弃用以下 databrickssql 诊断事件：

createAlertDestination（现在为 createNotificationDestination）
deleteAlertDestination（现在为 deleteNotificationDestination）
updateAlertDestination（现在为 updateNotificationDestination）
muteAlert
unmuteAlert

SQL 端点日志

如果使用弃用的 SQL 终结点 API（SQL 仓库之前的名称）创建 SQL 仓库，则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。除了名称，这些事件与 SQL 仓库事件均相同。若要查看这些事件的说明和请求参数，请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括：

changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig

Last updated on 2026-05-26

诊断日志参考

工作区级事件

身份验证事件

用户和组管理事件

令牌管理事件

IP 访问列表事件

IAM 角色事件

AI/BI 仪表板事件

警报事件

群集事件

集群库事件

实例池事件

作业事件

Lakeflow Spark 声明式管道事件

云存储元数据事件

引入事件

世系追踪事件

请求访问事件

Uniform Iceberg REST API 事件

DBFS 事件

DBFS API 事件

DBFS 操作事件

文件事件

工作区文件事件

代理评估事件

生产监控事件

用于评估的数据集内的事件

综合数据生成事件

查看应用事件

MLflow 试验事件

具有 ACL 事件的 MLflow 工件

MLflow 模型注册表事件

特征存储事件

Unity 目录 HTTP 连接事件

Databricks SQL 事件

笔记本事件

Git 文件夹事件

Git 凭据事件

全局初始化脚本事件

远程历史记录服务事件

工作区事件

机密事件

SSH 事件

Web控制台事件

Webhook 事件

帐户级服务

帐户级身份验证事件

帐户级用户和组管理事件

帐户级令牌和设置事件

服务主体凭据事件

无服务器预算策略事件

Delta Sharing 提供程序事件

Delta Sharing 接收方事件

Delta 共享 Iceberg 外部客户端事件

SQL 表访问事件

弃用的日志事件

SQL 端点日志

其他资源