诊断日志参考

注意

此功能需要高级计划。

本文提供了审核日志服务和事件的综合参考。这些服务的可用性取决于你如何访问日志：

Azure Monitor 的诊断设置服务不会记录所有这些服务。 Azure 的诊断设置中不可用的服务会进行相应的标记。
工作区级别和帐户级别的指定仅适用于审计日志系统表。 Azure 诊断日志不包括帐户级别事件。

注意

Azure Databricks 保留审核日志的副本最多 1 年，以便进行安全和欺诈分析。

工作区级事件

以下服务记录工作区级别的审核事件。

帐户事件

以下accounts事件在工作区级别记录。此服务包括与帐户、用户、组和 IP 访问列表相关的事件。

服务	操作	说明	请求参数
`accounts`	`accountLoginCodeAuthentication`	对用户帐户登录代码进行身份验证。	`user`
`accounts`	`activateUser`	在停用用户后将其重新激活。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`aadBrowserLogin`	用户使用 Microsoft Entra ID 浏览器工作流登录到 Databricks。	`user`
`accounts`	`aadTokenLogin`	用户通过 Microsoft Entra ID 令牌登录到 Databricks。	`user`
`accounts`	`add`	用户已添加到 Azure Databricks 工作区。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`addPrincipalToGroup`	用户已添加到工作区级别组。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`changeDatabricksSqlAcl`	更改用户的 Databricks SQL 权限。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDatabricksWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDbTokenAcl`	对访问令牌的权限已更改。	`shardName` `targetUserId` `resourceId` `aclPermissionSet`
`accounts`	`changeDbTokenState`	Databricks 访问令牌已禁用。	`tokenHash` `tokenState` `userId`
`accounts`	`changeServicePrincipalAcls`	更改服务主体的权限时。	`shardName` `targetServicePrincipal` `resourceId` `aclPermissionSet`
`accounts`	`createGroup`	已创建工作区级别组。	`endpoint` `targetUserId` `targetUserName`
`accounts`	`createIpAccessList`	IP 访问列表已添加到工作区。	`ipAccessListId` `userId`
`accounts`	`deactivateUser`	在工作区中停用用户。请参阅停用工作区中的用户。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`delete`	已从 Azure Databricks 工作区中删除用户。	`targetUserId` `targetUserName` `endpoint`
`accounts`	`deleteIpAccessList`	已从工作区中删除 IP 访问列表。	`ipAccessListId` `userId`
`accounts`	`garbageCollectDbToken`	用户对过期的令牌运行垃圾回收命令。	`tokenExpirationTime` `tokenClientId` `userId` `tokenCreationTime` `tokenFirstAccessed` `tokenHash`
`accounts`	`generateDbToken`	当某人从“用户设置”生成令牌时，或者当服务生成令牌时。	`tokenExpirationTime` `tokenCreatedBy` `tokenHash` `userId`
`accounts`	`IpAccessDenied`	用户尝试通过被拒绝的 IP 连接到服务。	`path` `user` `userId`
`accounts`	`ipAccessListQuotaExceeded`		`userId`
`accounts`	`jwtLogin`	用户使用 JWT 登录到 Databricks。	`user` `authenticationMethod`
`accounts`	`login`	用户登录到工作区。	`user` `authenticationMethod`
`accounts`	`logout`	用户从工作区中注销。	`user`
`accounts`	`oidcTokenAuthorization`	通过通用 OIDC/OAuth 令牌授权 API 调用时。	`user` `authenticationMethod`
`accounts`	`passwordVerifyAuthentication`		`user`
`accounts`	`reachMaxQuotaDbToken`	当当前未过期的令牌数超过令牌配额时。
`accounts`	`removeAdmin`	用户被撤销工作区管理员权限。	`targetUserName` `endpoint` `targetUserId`
`accounts`	`removeGroup`	已从工作区中移除组。	`targetGroupId` `targetGroupName` `endpoint`
`accounts`	`removePrincipalFromGroup`	已从组中移除用户。	`targetGroupId` `endpoint` `targetUserId` `targetGroupName` `groupMembershipType` `targetUserName`
`accounts`	`revokeDbToken`	从工作区中删除用户的令牌。可以因从 Databricks 帐户中删除用户而触发。	`userId` `tokenHash`
`accounts`	`setAdmin`	用户被授予帐户管理员权限。	`endpoint` `targetUserName` `targetUserId`
`accounts`	`tokenLogin`	用户使用令牌登录到 Databricks。	`tokenId` `user` `authenticationMethod`
`accounts`	`updateIpAccessList`	IP 访问列表已发生更改。	`ipAccessListId` `userId`
`accounts`	`updateUser`	对用户的帐户进行了更改。	`endpoint` `targetUserName` `targetUserId` `targetUserExternalId`
`accounts`	`validateEmail`	当用户在创建帐户后验证其电子邮件时。	`endpoint` `targetUserName` `targetUserId`
`accounts`	`workspaceLoginCodeAuthentication`	对用户的工作区范围的登录代码进行身份验证。	`user` `authenticationMethod`

AI/BI 仪表板事件

以下dashboards事件在工作区级别记录。此服务包括与 AI/BI 仪表板相关的事件。

服务	操作	说明	请求参数
`dashboards`	`getDashboard`	用户通过以下方式访问仪表板的草稿版本：在 UI 中查看版本，或使用 API 请求仪表板定义。只有工作区用户可以访问仪表板的草稿版本。	`dashboard_id`
`dashboards`	`getPublishedDashboard`	用户通过以下方式访问仪表板的已发布版本：在 UI 中查看版本，或使用 API 请求仪表板定义。包括工作区用户和帐户用户的活动。不包括使用计划电子邮件接收仪表板的 PDF 快照。	`dashboard_id` `credentials_embedded`
`dashboards`	`executeQuery`	用户从仪表板执行查询。	`dashboard_id` `statement_id` `details`
`dashboards`	`cancelQuery`	用户从仪表板取消查询。	`dashboard_id` `statement_id`
`dashboards`	`getQueryResult`	用户从仪表板接收查询结果。	`dashboard_id` `statement_id`
`dashboards`	`triggerDashboardSnapshot`	用户下载仪表板的 PDF 快照。	`dashboard_id` `name`
`dashboards`	`sendDashboardSnapshot`	仪表板的 PDF 快照是通过计划的电子邮件发送的。请求参数值取决于接收者的类型。对于 Databricks 通知目标，仅显示 `destination_id`。对于 Databricks 用户，将显示订阅者的用户 ID 和电子邮件地址。如果接收者是电子邮件地址，则仅显示电子邮件地址。	`dashboard_id` `subscriber_destination_id` `subscriber_user_details.user_id` `subscriber_user_details.email_address`
`dashboards`	`getDashboardDetails`	用户访问草稿仪表板的详细信息，例如数据集和小组件。当用户使用 UI 查看草稿仪表板或使用 API 请求仪表板定义时，始终会发出 `getDashboardDetails`。	`dashboard_id`
`dashboards`	`createDashboard`	用户使用 UI 或 API 创建新的 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`updateDashboard`	用户使用 UI 或 API 更新 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`cloneDashboard`	用户克隆 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id`
`dashboards`	`publishDashboard`	用户使用 UI 或 API 发布具有共享或单个数据权限的 AI/BI 仪表板。	`dashboard_id` `credentials_embedded` `warehouse_id`
`dashboards`	`unpublishDashboard`	用户使用 UI 或 API 取消发布已发布的 AI/BI 仪表板。	`dashboard_id`
`dashboards`	`trashDashboard`	用户使用仪表板 UI 或 Lakeview API 命令将仪表板移动到回收站。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区作，请参阅工作区事件。	`dashboard_id`
`dashboards`	`restoreDashboard`	用户使用仪表板 UI 或 Lakeview API 命令从回收站还原 AI/BI 仪表板。仅当通过这些通道进行，而不是针对工作区操作时，才会记录此事件。若要审核工作区作，请参阅工作区事件。	`dashboard_id`
`dashboards`	`migrateDashboard`	用户将 DBSQL 仪表板迁移到 AI/BI 仪表板。	`source_dashboard_id` `new_dashboard_id` `update_parameter_syntax`
`dashboards`	`createSchedule`	用户创建电子邮件订阅计划。	`dashboard_id` `schedule_id` `schedule`
`dashboards`	`updateSchedule`	用户更新 AI/BI 仪表板的计划。	`dashboard_id` `schedule_id`
`dashboards`	`deleteSchedule`	用户删除 AI/BI 仪表板的计划。	`dashboard_id` `schedule_id`
`dashboards`	`createSubscription`	用户为电子邮件目标订阅 AI/BI 仪表板计划。	`dashboard_id` `schedule_id` `schedule`
`dashboards`	`deleteSubscription`	用户从 AI/BI 仪表板计划中删除电子邮件目标。	`dashboard_id` `schedule_id`

警报事件

重要

此功能在 Beta 版中。

以下alerts事件在工作区级别记录。此服务包括与警报相关的事件。

注意

此服务不记录旧警报事件。遗留的警报事件记录在 databrickssql 服务下。

服务	操作	说明	请求参数
`alerts`	`apiCreateAlert`	用户使用警报 V2 API 创建警报。	`alert.id`
`alerts`	`apiGetAlert`	用户使用警报 V2 API 获取警报。	`alert_id`
`alerts`	`apiTrashAlert`	用户使用警报 V2 API 删除警报。	`alert_id`
`alerts`	`apiUpdateAlert`	用户使用警报 V2 API 更新警报。	`alert.id`
`alerts`	`cloneAlert`	用户克隆现有警报。	`alert_id`
`alerts`	`createAlert`	用户创建新的警报。	`alert_id`
`alerts`	`getAlert`	用户使用 UI 获取有关警报的信息。	`alert_id`
`alerts`	`previewAlertEvaluate`	测试条件功能返回警报测试结果。	`execution_session_id`
`alerts`	`previewAlertExecute`	用户使用测试条件功能预览和测试其警报。	`warehouse_id`
`alerts`	`runNowAlert`	用户单击“ 立即运行 ”按钮以立即运行警报查询。	`alert_id`
`alerts`	`updateAlert`	用户更新警报的详细信息。	`alert.id`

群集事件

以下cluster事件在工作区级别记录。此服务包括与经典群集相关的事件。

服务	操作	说明	请求参数
`clusters`	`changeClusterAcl`	用户更改群集 ACL。	`shardName` `aclPermissionSet` `targetUserId` `resourceId`
`clusters`	`create`	用户创建群集。	`access_mode` `acl_path_prefix` `apply_policy_default_values` `assigned_principal` `autoscale` `autotermination_minutes` `aws_attributes` `billing_info` `budget_policy_id` `channel` `clone_from` `cluster_creator` `cluster_event_notification_info` `cluster_log_conf` `cluster_name` `cluster_source` `cpu_architecture` `custom_tags` `data_security_mode` `disk_spec` `docker_image` `driver_instance_pool_id` `driver_instance_source` `driver_node_type_id` `effective_spark_version` `enable_elastic_disk` `enable_jobs_autostart` `enable_local_disk_encryption` `enable_serverless_compute` `idempotency_token` `init_scripts` `instance_pool_id` `instance_source` `is_single_node` `kind` `nephos_virtual_driver_size` `nephos_virtual_worker_size` `no_driver_daemon` `node_type_id` `num_workers` `organization_id` `performance_target` `platform_channel` `policy_id` `runtime_engine` `single_user_name` `spark_conf` `spark_env_vars` `spark_image_key` `spark_version` `ssh_public_keys` `start_cluster` `use_ml_runtime` `user_id` `validate_cluster_name_uniqueness` `virtual_cluster_size` `workload_type`
`clusters`	`createResult`	群集创建结果。与 `create` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`delete`	群集已终止。	`cluster_id` `termination_reason`
`clusters`	`deleteResult`	群集终止结果。与 `delete` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`edit`	用户对群集设置进行更改。这会记录除群集大小更改或自动缩放行为更改之外的所有更改。	`acl_path_prefix` `apply_policy_default_values` `assigned_principal` `autoscale` `autotermination_minutes` `aws_attributes` `cluster_creator` `cluster_id` `cluster_log_conf` `cluster_name` `cluster_source` `custom_tags` `data_security_mode` `docker_image` `driver_instance_pool_id` `driver_node_type_id` `effective_spark_version` `enable_elastic_disk` `enable_local_disk_encryption` `idempotency_token` `init_scripts` `instance_pool_id` `is_single_node` `kind` `no_driver_daemon` `node_type_id` `num_workers` `organization_id` `policy_id` `runtime_engine` `single_user_name` `spark_conf` `spark_env_vars` `spark_version` `ssh_public_keys` `start_cluster` `use_ml_runtime` `user_id` `validate_cluster_name_uniqueness` `virtual_cluster_size` `workload_type`
`clusters`	`permanentDelete`	已从用户界面中删除群集。	`cluster_id`
`clusters`	`resize`	重设群集大小。这会记录在正在运行的群集上，其中唯一更改的属性是群集大小或自动缩放行为。	`avoid_containers` `autoscale` `cluster_id` `num_workers`
`clusters`	`resizeResult`	重设群集大小的结果。与 `resize` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`restart`	用户重启正在运行的群集。	`cluster_id`
`clusters`	`restartResult`	群集重启的结果。与 `restart` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`
`clusters`	`start`	用户启动群集。	`cluster_id` `init_scripts_safe_mode`
`clusters`	`startResult`	群集启动结果。与 `start` 结合使用。	`clusterName` `clusterState` `clusterId` `clusterTerminationReasonCode` `clusterWorkers` `clusterOwnerUserId`

群集库事件

在工作区级别记录的以下 clusterLibraries 事件。此服务包括与计算范围库相关的事件。

服务	操作	说明	请求参数
`clusterLibraries`	`installLibraries`	用户在群集上安装库。	`cluster_id` `libraries` `are_installed_via_policy` `replace`
`clusterLibraries`	`uninstallLibraries`	用户卸载群集上的库。	`cluster_id` `libraries`
`clusterLibraries`	`installLibraryOnAllClusters`	工作区管理员计划在所有群集上安装库。	`user` `library`
`clusterLibraries`	`uninstallLibraryOnAllClusters`	工作区管理员从列表中移除要安装在所有群集上的库。	`user` `library`

Databricks SQL 事件

以下databrickssql事件在工作区级别记录。此服务包括与 Databricks SQL 相关的事件。

注意

如果使用旧版 SQL 终结点 API 管理 SQL 仓库，SQL 仓库审核事件将具有不同的操作名称。请参阅 SQL 终结点日志。

服务	操作	说明	请求参数
`databrickssql`	`cancelQueryExecution`	从 SQL 编辑器 UI 取消查询执行。这不包括源自查询历史记录 UI 或 Databricks SQL 执行 API 的取消操作。	`queryExecutionId`：仅在使用旧版 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。
`databrickssql`	`changeEndpointAcls`	仓库管理员更新对 SQL 仓库的权限。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`databrickssql`	`cloneFolderNode`	用户在工作区浏览器中克隆文件夹。	`dashboardId`
`databrickssql`	`commandFinish`	仅在详细的审核日志中。在 SQL 仓库上的命令完成或取消时生成，无论取消请求的来源如何。	`warehouseId` `commandId`
`databrickssql`	`commandSubmit`	仅在详细的审核日志中。在命令提交到 SQL 仓库时生成，无论请求的来源如何。	`warehouseId` `commandId` `validation` `commandText` `commandParameters`
`databrickssql`	`createAlert`	用户创建旧警报。	`alertId` `queryId`
`databrickssql`	`createQuery`	用户新建查询。	`queryId`
`databrickssql`	`getQuery`	用户在 SQL 编辑器页中打开查询，或调用 Databricks SQL 获取查询 API。仅当使用旧版 SQL 编辑器或 Databricks SQL REST API 时发出。	`queryId`
`databrickssql`	`createQueryDraft`	用户创建查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`createQuerySnippet`	用户创建查询片段。	`querySnippetId`
`databrickssql`	`createVisualization`	用户使用 SQL 编辑器生成可视化效果。排除使用 SQL 仓库的笔记本中的默认结果表和可视化效果。仅当使用旧版 SQL 编辑器时发出。	`queryId` `visualizationId`
`databrickssql`	`createWarehouse`	具有群集创建权利的用户创建 SQL 仓库。	`auto_resume` `auto_stop_mins` `channel` `warehouse_type` `cluster_size` `conf_pairs` `custom_cluster_confs` `enable_databricks_compute` `enable_photon` `enable_serverless_compute` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `size` `spot_instance_policy` `tags` `test_overrides`
`databrickssql`	`deleteAlert`	用户通过 API 删除旧警报。排除从文件浏览器 UI 或旧版警报界面进行的删除。	`alertId`
`databrickssql`	`deleteNotificationDestination`	工作区管理员删除通知目标。	`notificationDestinationId`
`databrickssql`	`deleteDashboard`	用户通过仪表板界面或 API 删除仪表板。通过文件浏览器 UI 排除删除项。	`dashboardId`
`databrickssql`	`deleteDashboardWidget`	用户删除仪表板小组件。	`widgetId`
`databrickssql`	`deleteWarehouse`	仓库管理员删除 SQL 仓库。	`id`
`databrickssql`	`deleteQuery`	用户通过查询界面或 API 删除查询。通过文件浏览器 UI 排除删除项。	`queryId`
`databrickssql`	`deleteQueryDraft`	用户删除查询草稿。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`deleteQuerySnippet`	用户删除查询片段。	`querySnippetId`
`databrickssql`	`deleteVisualization`	用户从 SQL 编辑器的查询中删除可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`
`databrickssql`	`downloadQueryResult`	用户从 SQL 编辑器下载查询结果。从仪表板中排除下载项。	`fileType` `queryId` `queryResultId`：仅在使用旧版 SQL 编辑器时发出。 `credentialsEmbedded` `credentialsEmbeddedId`
`databrickssql`	`editWarehouse`	仓库管理员编辑 SQL 仓库。	`auto_stop_mins` `channel` `warehouse_type` `cluster_size` `confs` `enable_photon` `enable_serverless_compute` `id` `instance_profile_arn` `max_num_clusters` `min_num_clusters` `name` `spot_instance_policy` `tags`
`databrickssql`	`executeAdhocQuery`	由下列项之一生成：用户在 SQL 编辑器中运行查询草稿从可视化效果聚合执行查询用户加载仪表板并执行基础查询	`dataSourceId`：仅在使用旧版 SQL 编辑器时发出。等效于 SQL 仓库 ID。 `warehouse_id`：仅在使用新的 SQL 编辑器时发出。 `query_id`：仅在使用新的 SQL 编辑器时发出。对应于新 SQL 编辑器中的当前查询文本，该文本可能与原始保存的查询等效。
`databrickssql`	`executeSavedQuery`	用户运行保存的查询。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`executeWidgetQuery`	由执行查询以刷新仪表板面板的任何事件生成。适用事件的一些示例包括：刷新单个面板刷新整个仪表板计划的仪表板执行参数或筛选器对超过 64,000 行的内容运行的更改	`widgetId`
`databrickssql`	`favoriteDashboard`	用户收藏仪表板。	`dashboardId`
`databrickssql`	`favoriteQuery`	用户收藏查询。	`queryId`
`databrickssql`	`forkQuery`	用户克隆查询。	`originalQueryId` `queryId`
`databrickssql`	`getAlert`	用户打开旧警报的详细信息页或调用旧版获取警报 API。	`id`：警报的 ID
`databrickssql`	`getHistoryQueriesByLookupKeys`	用户使用查找键获取一个或多个查询执行的详细信息。	`lookup_keys` `include_metrics`
`databrickssql`	`getHistoryQuery`	用户使用 UI 获取查询执行的详细信息。	`id` `queryId` `include_metrics` `include_plans` `include_json_plans`
`databrickssql`	`listHistoryQueries`	用户打开查询历史记录页或调用查询历史记录列表查询 API。	`filter_by` `include_metrics` `max_results` `page_token` `order_by`
`databrickssql`	`moveAlertToTrash`	用户使用 API 将旧警报移动到回收站。排除从文件浏览器 UI 或旧版警报界面进行的删除。	`alertId`
`databrickssql`	`moveDashboardToTrash`	用户将仪表板移动到回收站。	`dashboardId`
`databrickssql`	`moveQueryToTrash`	用户将查询移动到回收站。	`queryId` `treestoreId`：仅当使用新的 SQL 编辑器且无法返回有效 `queryId` 时发出。
`databrickssql`	`restoreAlert`	用户将旧警报从回收站还原。	`alertId`
`databrickssql`	`restoreDashboard`	用户从回收站还原仪表板。	`dashboardId`
`databrickssql`	`restoreQuery`	用户从回收站还原查询。	`queryId`
`databrickssql`	`setWarehouseConfig`	工作区管理员更新其工作区的 SQL 仓库设置，包括配置参数和数据访问属性。	`data_access_config` `enable_serverless_compute` `instance_profile_arn` `security_policy` `serverless_agreement` `sql_configuration_parameters`
`databrickssql`	`snapshotDashboard`	用户请求仪表板的快照。包括计划的仪表板快照。	`dashboardId`
`databrickssql`	`startWarehouse`	SQL 仓库已启动。	`id`
`databrickssql`	`stopWarehouse`	仓库管理员停止 SQL 仓库。排除自动停止的仓库。	`id`
`databrickssql`	`transferObjectOwnership`	工作区管理员通过转移对象所有权 API 将仪表板、查询或旧警报的所有权转移到活动用户。此审核日志事件不会捕获通过 UI 或更新 API 完成的所有权转移。	`newOwner` `objectId` `objectType`
`databrickssql`	`unfavoriteDashboard`	用户从其收藏夹中移除仪表板。	`dashboardId`
`databrickssql`	`unfavoriteQuery`	用户从其收藏夹中移除查询。	`queryId`
`databrickssql`	`updateAlert`	用户对旧警报进行更新。 `ownerUserName` 会在通过 API 转移旧警报所有权时填充。	`alertId` `queryId` `ownerUserName`
`databrickssql`	`updateNotificationDestination`	工作区管理员对通知目标进行更新。	`notificationDestinationId`
`databrickssql`	`updateDashboardWidget`	用户对仪表板小组件进行更新。排除对轴刻度的更改。适用更新的示例包括：对小组件大小或放置的更改添加或移除小组件参数	`widgetId`
`databrickssql`	`updateDashboard`	用户对仪表板属性进行更新。排除对计划和订阅的更改。适用更新的示例包括：仪表板名称更改对 SQL 仓库的更改对“运行方式”设置的更改	`dashboardId`
`databrickssql`	`updateFolderNode`	用户在工作区浏览器中更新文件夹节点。	`name`
`databrickssql`	`updateOrganizationSetting`	工作区管理员对工作区的 SQL 设置进行更新。	`has_configured_data_access` `has_explored_sql_warehouses` `has_granted_permissions` `hide_plotly_mode_bar` `send_email_on_failed_dashboards` `allow_downloads`
`databrickssql`	`updateQuery`	用户对查询进行更新。如果使用 API 转移查询所有权，则会填充 `ownerUserName`。	`queryId` `ownerUserName`
`databrickssql`	`updateQueryDraft`	用户对查询草稿进行更新。仅当使用旧版 SQL 编辑器时发出。	`queryId`
`databrickssql`	`updateQuerySnippet`	用户对查询片段进行更新。	`querySnippetId`
`databrickssql`	`updateVisualization`	用户从 SQL 编辑器或仪表板更新可视化效果。仅当使用旧版 SQL 编辑器时发出。	`visualizationId`
`databrickssql`	`viewAdhocVisualizationQuery`	用户查看可视化后面的查询。	无

数据监视事件

以下dataMonitoring事件在工作区级别记录。

服务	操作	说明	请求参数
`dataMonitoring`	`CancelRefresh`	用户取消监视器刷新。	`full_table_name_arg` `refresh_id`
`dataMonitoring`	`CreateMonitor`	用户创建监视器。	`data_classification_config` `full_table_name_arg` `assets_dir` `schedule` `output_schema_name` `notifications` `inference_log` `custom_metrics` `slicing_exprs` `snapshot` `time_series`
`dataMonitoring`	`DeleteMonitor`	用户删除监视器。	`full_table_name_arg`
`dataMonitoring`	`RegenerateDashboard`	用户重新生成监视仪表板。	`full_table_name_arg`
`dataMonitoring`	`RunRefresh`	按计划刷新或手动刷新监视器。	`full_table_name_arg`
`dataMonitoring`	`UpdateMonitor`	用户对监视器进行更新。	`data_classification_config` `table_name` `full_table_name_arg` `drift_metrics_table_name` `dashboard_id` `custom_metrics` `assets_dir` `monitor_version` `profile_metrics_table_name` `baseline_table_name` `status` `output_schema_name` `inference_log` `slicing_exprs` `latest_monitor_failure_msg` `notifications` `schedule` `snapshot`

DBFS 事件

以下dbfs事件在工作区级别记录。此服务包括与 DBFS 相关的事件。

有两种类型的 DBFS 事件：API 调用和操作事件。

DBFS API 事件

仅当通过 DBFS REST API 编写时，才会记录以下 DBFS 审核事件。

服务	操作	说明	请求参数
`dbfs`	`addBlock`	用户将数据块追加到流。这与 dbfs/create 结合使用，以将数据流式传输到 DBFS。	`handle` `data_length`
`dbfs`	`close`	用户关闭由输入句柄指定的流。	`handle`
`dbfs`	`create`	用户打开流以将文件写入 DBFS。	`path` `bufferSize` `overwrite`
`dbfs`	`delete`	用户从 DBFS 中删除文件或目录。	`recursive` `path`
`dbfs`	`getStatus`	用户获取文件或目录的信息。	`path`
`dbfs`	`mkdirs`	用户创建新的 DBFS 目录。	`path`
`dbfs`	`move`	用户将文件从一个位置移动到 DBFS 中的另一个位置。	`dst` `source_path` `src` `destination_path`
`dbfs`	`put`	用户通过多部分表单提交文件到 DBFS。	`path` `overwrite`
`dbfs`	`read`	用户读取文件的内容。	`path` `offset` `length`

DBFS 操作事件

以下 DBFS 审核事件发生在计算平面上。

服务	操作	说明	请求参数
`dbfs`	`mount`	用户在特定 DBFS 位置创建装入点。	`mountPoint` `owner`
`dbfs`	`unmount`	用户移除特定 DBFS 位置的装入点。	`mountPoint`

特征存储事件

以下featureStore事件在工作区级别记录。此服务包括与 Databricks 功能存储相关的事件。

服务	操作	说明	请求参数
`featureStore`	`addConsumer`	使用者已添加到特征存储。	`features` `job_run` `notebook`
`featureStore`	`addDataSources`	数据源已添加到特征表。	`feature_table` `paths` `tables`
`featureStore`	`addProducer`	生成者已添加到特征表。	`feature_table` `job_run` `notebook` `producer_action`
`featureStore`	`changeFeatureTableAcl`	特征表中的权限已发生更改。	`aclPermissionSet` `resourceId` `shardName` `targetUserId`
`featureStore`	`createFeatureSpec`	创建了一项功能规范。	`feature_spec_yaml` `name`
`featureStore`	`createFeatureTable`	已创建特征表。	`description` `is_imported` `name` `partition_keys` `primary_keys` `timestamp_keys`
`featureStore`	`createFeatures`	已在特征表中创建特征。	`feature_table` `features`
`featureStore`	`deleteFeatureTable`	已删除特征表。	`dry_run` `name`
`featureStore`	`deleteTags`	已从特征表中删除标记。	`feature_table_id` `keys`
`featureStore`	`generateFeatureSpecYaml`	生成一个功能规范的 YAML 文件。	`exclude_columns` `feature_spec_yaml` `features` `input_columns`
`featureStore`	`getBrickstoreOnlineTableMetadata`	用户获取 Brickstore 在线表元数据。	`feature_table_features`
`featureStore`	`getConsumers`	用户进行调用以获取特征表中的使用者。	`feature_table`
`featureStore`	`getFeatureStoreWidePermissions`	用户获得整个功能商店的权限。	无
`featureStore`	`getFeatureTable`	用户进行调用以获取特征表。	`exclude_online_stores` `include_producers` `name`
`featureStore`	`getFeatureTablesById`	用户进行调用以获取特征表 ID。	`ids`
`featureStore`	`getFeatures`	用户进行调用以获取特征。	`feature_table` `max_results`
`featureStore`	`getModelServingMetadata`	用户进行调用以获取模型服务元数据。	`feature_table_features`
`featureStore`	`getOnlineFeatureTables`	用户获取在线功能表。	`create_if_not_exist` `feature_table_features` `include_brickstore` `is_v1_serving`
`featureStore`	`getOnlineFeatureTablesState`	用户获取联机功能表的状态。	`feature_table_names`
`featureStore`	`getOnlineStore`	用户进行调用以获取在线商店详细信息。	`cloud` `feature_table` `online_table` `store_type`
`featureStore`	`getOnlineStores`	用户获取在线商店。	`feature_tables`
`featureStore`	`getTags`	用户进行调用以获取特征表的标记。	`feature_table_id`
`featureStore`	`logFeatureStoreClientEvent`	功能存储客户端事件已被记录。	`aggregate_features` `create_materialized_view`
`featureStore`	`publishFeatureTable`	已发布特征表。	`cloud` `feature_table` `host` `online_table` `port` `read_secret_prefix` `store_type` `write_secret_prefix`
`featureStore`	`searchFeatureTables`	用户搜索特征表。	`catalog_names` `exclude_online_stores` `is_multi_catalog` `max_results` `owner_ids` `page_token` `search_scopes` `sort_order` `text`
`featureStore`	`setTags`	已将标记添加到特征表。	`feature_table_id` `tags`
`featureStore`	`updateFeatureTable`	已更新特征表。	`description` `name`

文件事件

以下filesystem事件在工作区级别记录。此服务包括与文件管理相关的事件，其中包括使用文件 API 或卷 UI 与文件交互。

服务	操作	说明	请求参数
`filesystem`	`directoriesDelete`	用户使用文件 API 或卷 UI 删除目录。	`path`
`filesystem`	`directoriesGet`	用户使用文件 API 或卷界面列出目录的内容。	`path`
`filesystem`	`directoriesHead`	用户使用文件 API 或存储卷 UI 获取有关目录的信息。	`path`
`filesystem`	`directoriesPut`	用户通过使用 Files API 或 Volumes UI 创建目录。	`path`
`filesystem`	`filesDelete`	用户使用文件 API 或卷 UI 定义文件。	`path`
`filesystem`	`filesGet`	用户使用文件 API 或卷 UI 下载文件。	`path` `transferredSize`
`filesystem`	`filesHead`	用户使用文件 API 或卷 UI 获取有关文件的信息。	`path`
`filesystem`	`filesPut`	用户使用文件 API 或卷 UI 上传文件。	`path` `receivedSize`

Git 凭据事件

以下gitCredentials事件在工作区级别记录。此服务包括与 Databricks Git 文件夹的 Git 凭据相关的事件。

服务	操作	说明	请求参数
`gitCredentials`	`createGitCredential`	用户创建 git 凭据。	`git_provider` `git_username`
`gitCredentials`	`deleteGitCredential`	用户删除 git 凭据。	`id`
`gitCredentials`	`getGitCredential`	用户获取 git 凭据。	`id`
`gitCredentials`	`linkGitProvider`	用户关联 Git 提供商。	`git_provider` `principal_id`
`gitCredentials`	`listGitCredentials`	用户列出所有 git 凭据	`principal_id`
`gitCredentials`	`updateGitCredential`	用户更新 git 凭据。	`id` `git_provider` `git_username`

Git 文件夹事件

以下repos事件在工作区级别记录。此服务包括与 Databricks Git 文件夹相关的事件。另请参阅 gitCredentials。

服务	操作名称	说明	请求参数
`repos`	`checkoutBranch`	用户签出存储库上的分支。	`id` `branch`
`repos`	`commitAndPush`	用户提交并推送到存储库。	`id` `message` `files` `checkSensitiveToken`
`repos`	`createRepo`	用户在工作区中创建存储库	`url` `provider` `path`
`repos`	`deleteRepo`	用户删除存储库。	`id`
`repos`	`discard`	用户放弃提交到存储库。	`id` `file_paths`
`repos`	`getRepo`	用户进行调用以获取有关单个存储库的信息。	`id`
`repos`	`listRepos`	用户进行调用以获取他们对其拥有管理权限的所有存储库。	`path_prefix` `next_page_token`
`repos`	`pull`	用户从存储库拉取最新提交。	`id`
`repos`	`updateRepo`	用户将存储库更新到不同的分支或标记，或更新到同一分支上的最新提交。	`id` `branch` `tag` `git_url` `git_provider`

全局初始化脚本事件

以下globalInitScripts事件在工作区级别记录。此服务包括与全局初始化脚本相关的事件。

服务	操作	说明	请求参数
`globalInitScripts`	`create`	工作区管理员创建全局初始化脚本。	`name` `position` `script-SHA256` `enabled`
`globalInitScripts`	`update`	工作区管理员更新全局初始化脚本。	`script_id` `name` `position` `script-SHA256` `enabled`
`globalInitScripts`	`delete`	工作区管理员删除全局初始化脚本。	`script_id`

IAM 角色事件

以下iamRole事件在工作区级别记录。

服务	操作	说明	请求参数
`iamRole`	`changeIamRoleAcl`	工作区管理员更改 IAM 角色的权限。	`targetUserId` `shardName` `resourceId` `aclPermissionSet`

引入事件

以下 ingestion 事件记录在工作区级别，并且与文件上传相关。

服务	操作	说明	请求参数
`ingestion`	`proxyFileUpload`	用户将文件上传到其 Azure Databricks 工作区。	`x-databricks-content-length-0` `x-databricks-total-files`

实例池事件

以下instancePools事件在工作区级别记录。此服务包括与池相关的事件。

服务	操作	说明	请求参数
`instancePools`	`changeInstancePoolAcl`	用户更改实例池的权限。	`shardName` `resourceId` `targetUserId` `aclPermissionSet`
`instancePools`	`create`	用户创建实例池。	`enable_elastic_disk` `preloaded_spark_versions` `idle_instance_autotermination_minutes` `instance_pool_name` `node_type_id` `custom_tags` `max_capacity` `min_idle_instances` `aws_attributes`
`instancePools`	`delete`	用户删除实例池。	`instance_pool_id`
`instancePools`	`edit`	用户编辑实例池。	`instance_pool_name` `idle_instance_autotermination_minutes` `min_idle_instances` `preloaded_spark_versions` `max_capacity` `enable_elastic_disk` `node_type_id` `instance_pool_id` `aws_attributes`

作业事件

以下jobs事件在工作区级别记录。此服务包括与作业相关的事件。

服务	操作	说明	请求参数
`jobs`	`cancel`	作业运行已取消。	`run_id`
`jobs`	`cancelAllRuns`	用户取消作业的所有运行。	`all_queued_runs` `job_id`
`jobs`	`changeJobAcl`	用户更新作业的权限。	`shardName` `aclPermissionSet` `resourceId` `targetUserId`
`jobs`	`create`	用户创建作业。	`budget_policy_id` `compute` `continuous` `create_as_untouched` `deployment` `description` `edit_mode` `email_notifications` `environments` `existing_cluster_id` `format` `git_source` `health` `idempotency_token` `is_from_redash` `job_clusters` `job_type` `libraries` `max_concurrent_runs` `max_retries` `min_retry_interval_millis` `name` `new_cluster` `notebook_task` `notification_settings` `parameters` `performance_target` `queue` `retry_on_timeout` `run_as` `run_as_user_name` `schedule` `spark_jar_task` `spark_python_task` `spark_submit_task` `tags` `tasks` `timeout_seconds` `trigger` `webhook_notifications`
`jobs`	`delete`	用户删除作业。	`job_id`
`jobs`	`deleteRun`	用户删除作业运行。	`run_id`
`jobs`	`getRunOutput`	用户进行 API 调用以获取运行输出。	`run_id` `is_from_webapp` `notebook_output_limit` `skip_additional_acl_checks`
`jobs`	`repairRun`	用户修复作业运行。	`run_id` `latest_repair_id` `rerun_tasks` `job_parameters`
`jobs`	`reset`	作业已重置。	`job_id` `new_settings`
`jobs`	`resetJobAcl`	用户请求更改作业的权限。	`grants` `job_id`
`jobs`	`runCommand`	在启用详细的审核日志时可用。在作业运行执行笔记本中的命令后发出。命令对应于笔记本中的单元格。	`jobId` `runId` `notebookId` `executionTime` `status` `commandId` `commandText` `clusterId` `commandLanguage`
`jobs`	`runFailed`	作业运行失败或已取消。	`jobClusterType` `jobTriggerType` `jobId` `jobTaskType` `runId` `jobTerminalState` `idInJob` `orgId` `runCreatorUserName` `clusterId` `jobRunId` `multitaskParentRunId` `parentRunId` `repairId` `taskDependencies` `taskDependencyType` `taskKey`
`jobs`	`runNow`	用户触发按需作业运行。	`notebook_params` `job_id` `jar_params` `workflow_context` `job_parameters` `only` `pipeline_params` `python_params` `queue`
`jobs`	`runStart`	在验证和创建群集后启动作业运行时发出。此事件发出的请求参数取决于作业中的任务类型。除了列出的参数外，它们还可以包括： `dashboardId`（针对 SQL 仪表板任务） `filePath`（针对 SQL 文件任务） `notebookPath`（针对笔记本任务） `mainClassName`（针对 Spark JAR 任务） `pythonFile`（针对 Spark JAR 任务） `projectDirectory`（针对 dbt 任务） `commands`（针对 dbt 任务） `packageName`（针对 Python wheel 任务） `entryPoint`（针对 Python wheel 任务） `pipelineId`（针对管道任务） `queryIds` 用于 SQL 查询任务 `alertId` （用于 SQL 警报任务）	`taskDependencies` `multitaskParentRunId` `orgId` `idInJob` `jobId` `jobTerminalState` `taskKey` `jobTriggerType` `jobTaskType` `runId` `runCreatorUserName`
`jobs`	`runSucceeded`	作业运行成功。	`idInJob` `jobId` `jobTriggerType` `orgId` `runId` `jobClusterType` `jobTaskType` `jobTerminalState` `runCreatorUserName` `clusterId` `jobRunId` `multitaskParentRunId` `parentRunId` `repairId` `taskDependencies` `taskDependencyType` `taskKey`
`jobs`	`runTriggered`	作业计划根据其计划或触发器自动触发。	`jobId` `jobTriggeredType` `runId` `jobTriggerType` `runCreatorUserName`
`jobs`	`sendRunWebhook`	在作业开始、完成或失败时发送 Webhook。	`orgId` `jobId` `jobWebhookId` `jobWebhookEvent` `runId`
`jobs`	`setTaskValue`	用户为任务设置值。	`run_id` `key`
`jobs`	`submitRun`	用户通过 API 提交一次性运行。	`shell_command_task` `run_name` `spark_python_task` `existing_cluster_id` `notebook_task` `timeout_seconds` `libraries` `new_cluster` `spark_jar_task` `access_control_list` `email_notifications` `git_source` `idempotency_token` `run_as` `tasks` `workflow_context`
`jobs`	`update`	用户编辑作业的设置。	`job_id` `fields_to_remove` `new_settings` `is_from_dlt` `fields_to_remove_mirror` `is_from_redash` `new_settings_mirror`

Lakeflow 声明性管道事件

以下deltaPipelines事件在工作区级别记录。此服务包括与 Lakeflow 声明性管道相关的事件。

服务	操作	说明	请求参数
`deltaPipelines`	`changePipelineAcls`	用户更改对管道的权限。	`aclPermissionSet` `resourceId` `shardId` `shardName` `targetUserId`
`deltaPipelines`	`create`	用户创建声明性管道。	`allow_duplicate_names` `budget_policy_id` `catalog` `channel` `clusters` `configuration` `continuous` `data_sampling` `dbr_version` `deployment` `development` `dry_run` `edition` `email_notifications` `event_log` `gateway_definition` `id` `ingestion_definition` `libraries` `managed_definition` `name` `notifications` `photon` `pipeline_type` `restart_window` `schema` `serverless` `storage` `target` `trigger`
`deltaPipelines`	`delete`	用户删除声明性管道。	`pipeline_id`
`deltaPipelines`	`edit`	用户编辑声明式管道。	`allow_duplicate_names` `budget_policy_id` `catalog` `channel` `clusters` `configuration` `continuous` `data_sampling` `dbr_version` `deployment` `development` `edition` `email_notifications` `event_log` `expected_last_modified` `gateway_definition` `id` `ingestion_definition` `libraries` `name` `notifications` `photon` `pipeline_id` `pipeline_type` `restart_window` `run_as` `schema` `serverless` `storage` `target`
`deltaPipelines`	`startUpdate`	用户重新启动声明性管道。	`cause` `development` `full_refresh` `full_refresh_selection` `job_task` `pipeline_id` `refresh_selection` `update_cause_details` `validate_only`
`deltaPipelines`	`stop`	用户停止声明性管道。	`cancellation_cause` `pipeline_id`

世系追踪事件

以下lineageTracking事件在工作区级别记录。此服务包括与数据世系相关的事件。

服务	操作	说明	请求参数
`lineageTracking`	`listColumnLineages`	用户访问某列的上游或下游列的列表。	`table_name` `column_name` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。
`lineageTracking`	`listSecurableLineagesBySecurable`	用户访问某个安全对象的上游或下游安全对象的列表。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。 `metastore_id` `page_size` `page_token` `securable_response_filter` `start_timestamp` `subsecurable_id` `workspace_id`
`lineageTracking`	`listEntityLineagesBySecurable`	用户访问写入或读取安全对象的实体（笔记本、作业等）的列表。	`securable_full_name` `securable_type` `lineage_direction`：世系方向（`UPSTREAM` 或 `DOWNSTREAM`）。 `entity_response_filter`：实体类型（笔记本、作业、仪表板、管道、查询、服务终结点等）。 `metastore_id` `page_size` `start_timestamp` `subsecurable_id` `workspace_id`
`lineageTracking`	`getColumnLineages`	用户获取表及其列的列世系。	`table_name` `column_name` `metastore_id` `only_downstream` `only_upstream` `workspace_id`
`lineageTracking`	`getTableEntityLineages`	用户获取表的上游和下游的世系信息。	`table_name` `include_entity_lineage` `include_downstream` `include_upstream` `metastore_id` `workspace_id`
`lineageTracking`	`getJobTableLineages`	用户获取作业的上游和下游表世系。	`job_id` `max_result` `metastore_id` `workspace_id`
`lineageTracking`	`getFunctionLineages`	用户获取函数的上游和下游安全对象和实体（笔记本、任务等）。	`function_name`
`lineageTracking`	`getModelVersionLineages`	用户获取模型及其版本的上游和下游安全对象和实体（笔记本、作业等）。	`model_name` `version` `metastore_id` `workspace_id`
`lineageTracking`	`getEntityTableLineages`	用户可以获取实体（例如笔记本、作业等）的上游表和下游表。	`entity_type` `entity_id` `max_downstreams` `max_upstreams` `metastore_id` `workspace_id`
`lineageTracking`	`getFrequentlyJoinedTables`	用户获取与某表频繁联接的表。	`table_name` `include_columns` `limit_size` `metastore_id` `workspace_id`
`lineageTracking`	`getFrequentQueryByTable`	用户获取针对某表的频繁查询列表。	`source_table_name` `limit_size` `metastore_id` `workspace_id`
`lineageTracking`	`getFrequentUserByTable`	用户获取表的常用用户。	`table_name` `limit_size` `metastore_id` `workspace_id`
`lineageTracking`	`getTablePopularityByDate`	用户获取过去一个月某表的受欢迎程度（查询计数）。	`table_name` `metastore_id` `workspace_id`
`lineageTracking`	`getPopularEntities`	用户获取表的常用实体（笔记本、作业等）。	`scope`：指定用于从工作区或表名称检索常用实体的范围。 `table_name` `limit_size` `metastore_id` `workspace_id`
`lineageTracking`	`getPopularTables`	用户获取有关表的受欢迎程度的信息。	`scope`：指定从元存储或表列表中检索常用表的范围。 `table_name_list` `metastore_id` `workspace_id`
`lineageTracking`	`listCustomLineages`	用户列出实体的自定义世系。	`entity_id` `lineage_direction` `metastore_id` `page_size` `workspace_id`
`lineageTracking`	`listSecurableByEntityEvent`	用户列出与实体事件关联的安全对象。	`entity_id` `entity_type` `lineage_direction` `metastore_id` `page_size` `page_token` `securable_response_filter` `start_timestamp` `workspace_id`

具有 ACL 事件的 MLflow 项目

以下mlflowAcledArtifact事件在工作区级别记录。此服务包含与 ACL 的 MLflow 项目相关的事件。

服务	操作	说明	请求参数
`mlflowAcledArtifact`	`readArtifact`	用户进行调用以读取项目。	`artifactLocation` `experimentId` `runId`
`mlflowAcledArtifact`	`writeArtifact`	用户进行调用以写入到项目。	`artifactLocation` `experimentId` `runId`

MLflow 试验事件

以下mlflowExperiment事件在工作区级别记录。此服务包括与 MLflow 试验相关的事件。

服务	操作	说明	请求参数
`mlflowExperiment`	`createMlflowExperiment`	用户创建 MLflow 试验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`deleteMlflowExperiment`	用户删除 MLflow 试验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`moveMlflowExperiment`	用户移动 MLflow 试验。	`newPath` `experimentId` `oldPath`
`mlflowExperiment`	`restoreMlflowExperiment`	用户还原 MLflow 试验。	`experimentId` `path` `experimentName`
`mlflowExperiment`	`renameMlflowExperimentEvent`	用户重命名 MLflow 试验。	`oldName` `newName` `experimentId` `parentPath`

MLflow 模型注册表事件

以下mlflowModelRegistry事件在工作区级别记录。此服务包括与工作区模型注册表相关的事件。有关 Unity 目录中模型的活动日志，请参阅 Unity 目录事件。

服务	操作	说明	请求参数
`modelRegistry`	`approveTransitionRequest`	用户批准模型版本阶段转换请求。	`name` `version` `stage` `archive_existing_versions` `comment`
`modelRegistry`	`changeRegisteredModelAcl`	用户更新已注册模型的权限。	`registeredModelId` `userId` `aclPermissionSet` `resourceId` `shardName` `targetUserId`
`modelRegistry`	`createComment`	用户发布对模型版本的注释。	`name` `version`
`modelRegistry`	`createModelVersion`	用户创建模型版本。	`name` `source` `run_id` `tags` `run_link`
`modelRegistry`	`createRegisteredModel`	用户创建新的已注册模型	`name` `tags` `description`
`modelRegistry`	`createRegistryWebhook`	用户为模型注册表事件创建 Webhook。	`orgId` `registeredModelId` `events` `description` `status` `creatorId` `httpUrlSpec`
`modelRegistry`	`createTransitionRequest`	用户创建模型版本阶段转换请求。	`name` `version` `stage` `comment`
`modelRegistry`	`deleteComment`	用户删除对模型版本的注释。	`id`
`modelRegistry`	`deleteModelVersion`	用户删除模型版本。	`name` `version`
`modelRegistry`	`deleteModelVersionTag`	用户删除模型版本标记。	`name` `version` `key`
`modelRegistry`	`deleteRegisteredModel`	用户删除已注册模型	`name`
`modelRegistry`	`deleteRegisteredModelTag`	用户删除已注册模型的标记。	`name` `key`
`modelRegistry`	`deleteRegistryWebhook`	用户删除模型注册表 Webhook。	`orgId` `webhookId`
`modelRegistry`	`deleteTransitionRequest`	用户取消模型版本阶段转换请求。	`name` `version` `stage` `creator`
`modelRegistry`	`finishCreateModelVersionAsync`	已完成异步模型复制。	`name` `version`
`modelRegistry`	`generateBatchInferenceNotebook`	批处理推理笔记本是自动生成的。	`userId` `orgId` `modelName` `inputTableOpt` `outputTablePathOpt` `stageOrVersion` `modelVersionEntityOpt` `notebookPath`
`modelRegistry`	`generateDltInferenceNotebook`	声明性管道的推理过程笔记本已自动生成。	`userId` `orgId` `modelName` `inputTable` `outputTable` `stageOrVersion` `notebookPath` `input_table` `name` `output_table` `stage` `version`
`modelRegistry`	`getModelVersionDownloadUri`	用户获取用于下载模型版本的 URI。	`name` `version`
`modelRegistry`	`getModelVersionSignedDownloadUri`	用户获取用于下载已签名模型版本的 URI。	`name` `version` `path`
`modelRegistry`	`listModelArtifacts`	用户进行调用以列出模型的项目。	`name` `version` `path` `page_token`
`modelRegistry`	`listRegistryWebhooks`	用户进行调用以列出模型中的所有注册表 Webhook。	`orgId` `registeredModelId`
`modelRegistry`	`rejectTransitionRequest`	用户拒绝模型版本阶段转换请求。	`name` `version` `stage` `comment`
`modelRegistry`	`renameRegisteredModel`	用户重命名已注册模型	`name` `new_name`
`modelRegistry`	`setEmailSubscriptionStatus`	用户更新已注册模型的电子邮件订阅状态	`model_name` `subscription_type`
`modelRegistry`	`setModelVersionTag`	用户设置模型版本标记。	`name` `version` `key` `value`
`modelRegistry`	`setRegisteredModelTag`	用户设置模型版本标记。	`name` `key` `value`
`modelRegistry`	`setUserLevelEmailSubscriptionStatus`	用户更新整个注册表的电子邮件通知状态。	`orgId` `userId` `subscriptionStatus` `subscription_type`
`modelRegistry`	`testRegistryWebhook`	用户测试模型注册表 Webhook。	`orgId` `webhookId`
`modelRegistry`	`transitionModelVersionStage`	用户获取模型版本的所有开放阶段转换请求的列表。	`name` `version` `stage` `archive_existing_versions` `comment`
`modelRegistry`	`triggerRegistryWebhook`	模型注册表 Webhook 由事件触发。	`orgId` `registeredModelId` `events` `status`
`modelRegistry`	`updateComment`	用户发布对模型版本的注释的编辑。	`id`
`modelRegistry`	`updateRegistryWebhook`	用户更新模型注册表 Webhook。	`orgId` `webhookId`

Notebook 事件

以下notebook事件在工作区级别记录。此服务包括与笔记本相关的事件。

服务	操作	说明	请求参数
`notebook`	`attachNotebook`	笔记本已附加到群集。还会在将新的 SQL 编辑器附加到 SQL 仓库时发出。	`path` `clusterId` `notebookId`
`notebook`	`cloneNotebook`	用户克隆笔记本。	`notebookId` `path` `clonedNotebookId` `destinationPath`
`notebook`	`createFolder`	创建笔记本文件夹。	`path`
`notebook`	`createNotebook`	已创建笔记本。	`notebookId` `path`
`notebook`	`deleteFolder`	已删除笔记本文件夹。	`path`
`notebook`	`deleteNotebook`	已删除笔记本。	`notebookId` `notebookName` `path`
`notebook`	`deleteRepo`	删除存储库。	`path`
`notebook`	`detachNotebook`	笔记本与群集分离。还会在从 SQL 仓库拆离新的 SQL 编辑器时发出。	`notebookId` `clusterId` `path`
`notebook`	`downloadLargeResults`	用户下载的查询结果太大，无法显示在笔记本中。	`notebookId` `notebookFullPath` `commandId`
`notebook`	`downloadPreviewResults`	用户下载查询结果。	`notebookId` `notebookFullPath` `commandId`
`notebook`	`importNotebook`	用户导入笔记本。	`path` `workspaceExportFormat`
`notebook`	`modifyNotebook`	笔记本已修改。	`notebookId` `path`
`notebook`	`moveFolder`	笔记本文件夹已从一个位置移动到另一个位置。	`oldPath` `newPath` `folderId`
`notebook`	`moveNotebook`	笔记本已从一个位置移动到另一个位置。	`newPath` `oldPath` `notebookId`
`notebook`	`openNotebook`	用户使用 UI 打开笔记本。	`notebookId` `path`
`notebook`	`renameFolder`	笔记本文件夹已重命名。	`folderId` `newName` `oldName` `parentPath`
`notebook`	`renameNotebook`	笔记本已重命名。	`newName` `oldName` `parentPath` `notebookId`
`notebook`	`restoreFolder`	删除的文件夹已还原。	`path`
`notebook`	`restoreNotebook`	删除的笔记本已还原。	`path` `notebookId` `notebookName`
`notebook`	`restoreRepo`	已删除的存储库已还原。	`path`
`notebook`	`runCommand`	在启用详细的审核日志时可用。 Databricks 在笔记本或新的 SQL 编辑器中运行命令后会发出信号。命令对应于笔记本中的单元格或新 SQL 编辑器中的查询文本。 `executionTime` 以秒为度量单位。	`notebookId` `executionTime` `status` `commandId` `commandText` `commandLanguage`
`notebook`	`submitCommand`	在提交命令以便在笔记本或新的 SQL 编辑器中执行时生成。命令对应于笔记本中的单元格或新 SQL 编辑器中的查询文本。	`notebookId` `commandId` `clusterId` `commandLanguage`
`notebook`	`takeNotebookSnapshot`	在运行作业服务或 mlflow 时拍摄笔记本快照。	`path`

远程历史记录服务事件

以下RemoteHistoryService事件在工作区级别记录。此服务包括与添加和删除 GitHub 凭据相关的事件。

服务	操作	说明	请求参数
`RemoteHistoryService`	`addUserGitHubCredentials`	用户添加 Github 凭据	无
`RemoteHistoryService`	`deleteUserGitHubCredentials`	用户删除 Github 凭据	无
`RemoteHistoryService`	`updateUserGitHubCredentials`	用户更新 Github 凭据	无

请求访问事件

以下request-for-access事件在工作区级别记录。此服务包括与访问请求目标（公共预览版）相关的事件。

服务	操作	说明	请求参数
`request-for-access`	`updateAccessRequestDestinations`	用户更新 Unity Catalog 安全对象的访问请求目标位置。	`destinations` `securable`
`request-for-access`	`getAccessRequestDestinations`	用户获取 Unity 目录安全对象的访问请求目标。	`full_name` `securable_type`
`request-for-access`	`listDestinations`	用户获取 Unity 目录安全对象的访问请求目标。这是`getAccessRequestDestinations`操作的旧版本。	`securable`
`request-for-access`	`getStatus`	用户获取 Unity Catalog 安全对象的状态信息。如果至少有一个访问请求目标存在，则访问请求会被视为对 Unity Catalog 安全对象启用。	`securable`
`request-for-access`	`batchCreateAccessRequests`	用户请求访问一个或多个 Unity 目录安全对象。	`requests`
`request-for-access`	`requestAccess`	用户请求访问单个 Unity 目录安全对象。这是`batchCreateAccessRequests`操作的旧版本。	`behalf_of` `comment` `privileges` `securable`
`request-for-access`	`updateDefaultDestinationStatus`	用户更新了工作区级别设置的状态，该设置控制所有 Unity Catalog 安全对象是否分配了默认分配位置。	无
`request-for-access`	`getDefaultDestinationStatus`	用户获取默认目标设置的状态。	无

机密事件

以下secrets事件在工作区级别记录。此服务包括与机密相关的事件。

服务	操作名称	说明	请求参数
`secrets`	`createScope`	用户创建机密范围。	`scope` `initial_manage_principal` `scope_backend_type`
`secrets`	`deleteAcl`	用户删除机密范围的 ACL。	`scope` `principal`
`secrets`	`deleteScope`	用户删除机密范围。	`scope`
`secrets`	`deleteSecret`	用户从范围中删除机密。	`key` `scope`
`secrets`	`getAcl`	用户获取机密范围的 ACL。	`scope` `principal`
`secrets`	`getSecret`	用户从范围中获取机密。	`key` `scope`
`secrets`	`listAcls`	用户进行调用以列出机密范围的 ACL。	`scope`
`secrets`	`listScopes`	用户进行调用以列出机密范围	无
`secrets`	`listSecrets`	用户进行调用以列出范围中的机密。	`scope`
`secrets`	`putAcl`	用户更改机密范围的 ACL。	`scope` `principal` `permission`
`secrets`	`putSecret`	用户在范围中添加或编辑机密。	`string_value` `key` `scope`

SQL 表访问事件

注意

sqlPermissions 服务包括与旧版 Hive 元存储表访问控制相关的事件。 Databricks 建议你将 Hive 元存储管理的表升级到 Unity Catalog 元存储。

以下sqlPermissions事件在工作区级别记录。

服务	操作名称	说明	请求参数
`sqlPermissions`	`changeSecurableOwner`	工作区管理员或对象的所有者转让对象所有权。	`securable` `principal`
`sqlPermissions`	`createSecurable`	用户创建安全对象。	`securable`
`sqlPermissions`	`denyPermission`	对象所有者拒绝对安全对象的权限。	`permission`
`sqlPermissions`	`grantPermission`	对象所有者授予对安全对象的权限。	`permission`
`sqlPermissions`	`removeAllPermissions`	用户删除安全对象。	`securable`
`sqlPermissions`	`renameSecurable`	用户重命名安全对象。	`before` `after`
`sqlPermissions`	`requestPermissions`	用户请求对安全对象的权限。	`requests` `denied` `permitted`
`sqlPermissions`	`revokePermission`	对象所有者撤销对其安全对象的权限。	`permission`
`sqlPermissions`	`showPermissions`	用户查看安全对象权限。	`securable` `principal`

SSH 事件

以下ssh事件在工作区级别记录。此服务包括与 SSH 访问相关的事件。

服务	操作名称	说明	请求参数
`ssh`	`login`	代理通过 SSH 登录到 Spark 驱动程序。	`containerId` `userName` `port` `publicKey` `instanceId`
`ssh`	`logout`	代理通过 SSH 从 Spark 驱动程序注销。	`userName` `containerId` `instanceId`

Uniform Iceberg REST API 事件

以下uniformIcebergRestCatalog事件在工作区级别记录。当用户使用支持 Iceberg REST 目录 API 的外部 Iceberg 兼容的引擎与托管 Apache Iceberg 表交互时，将记录这些事件。

服务	操作	说明	请求参数
`uniformIcebergRestCatalog`	`config`	用户获取目录配置。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`createNamespace`	用户创建一个命名空间，其中包含一组可选的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`createTable`	用户创建新的 Iceberg 表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`deleteNamespace`	用户删除现有命名空间。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`deleteTable`	用户删除现有表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`getNamespace`	用户获取命名空间的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`listNamespaces`	用户发出调用以在指定级别列出所有命名空间。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`listTables`	用户列出给定命名空间下的所有表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadTableCredentials`	用户从目录中加载表的已出售凭据。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadTable`	用户从目录中加载表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`loadView`	用户从目录中加载视图。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`namespaceExists`	用户检查命名空间是否存在。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`renameTable`	用户重命名现有表	`http_method` `http_path`
`uniformIcebergRestCatalog`	`reportMetrics`	用户发送指标报表	`http_method` `http_path`
`uniformIcebergRestCatalog`	`tableExists`	用户检查给定命名空间中是否存在表。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`updateNamespaceProperties`	用户更新命名空间的属性。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`updateTable`	用户更新表元数据。	`http_method` `http_path`
`uniformIcebergRestCatalog`	`viewExists`	用户检查给定命名空间中是否存在视图。	`http_method` `http_path`

Webhook 事件

以下webhookNotifications事件在工作区级别记录。此服务包括与通知目标相关的事件。

服务	操作	说明	请求参数
`webhookNotifications`	`createWebhook`	管理员创建新的通知目标。	`name` `options` `type`
`webhookNotifications`	`deleteWebhook`	管理员删除通知目标。	`id`
`webhookNotifications`	`getWebhook`	用户使用 UI 或 API 查看有关通知目标的信息。	`id`
`webhookNotifications`	`notifyWebhook`	将触发 Webhook 并将通知有效负载发送到目标 URL。	`body` `id`
`webhookNotifications`	`testWebhook`	为验证配置并确保能够成功接收通知，将测试负载发送至 Webhook URL。	`id`
`webhookNotifications`	`updateWebhook`	管理员更新通知目标。	`name` `options` `type`

Web 终端事件

以下webTerminal事件在工作区级别记录。此服务包括与 Web 终端功能相关的事件。

服务	操作名称	说明	请求参数
`webTerminal`	`startSession`	用户启动 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`
`webTerminal`	`closeSession`	用户关闭 Web 终端会话。	`socketGUID` `clusterId` `serverPort` `ProxyTargetURI`

工作区事件

以下workspace事件在工作区级别记录。此服务包括与工作区管理相关的事件。

服务	操作名称	说明	请求参数
`workspace`	`addPermissionAssignment`	帐户管理员将主体添加到工作区。	`principal_id` `account_id` `workspace_id`
`workspace`	`changeWorkspaceAcl`	对工作区的权限已发生更改。	`shardName` `targetUserId` `aclPermissionSet` `resourceId`
`workspace`	`deletePermissionAssignment`	工作区管理员从工作区中删除主体。	`principal_id` `account_id` `workspace_id`
`workspace`	`deleteSetting`	已从工作区中删除设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName`
`workspace`	`fileCreate`	用户在工作区中创建文件。	`path`
`workspace`	`fileDelete`	用户删除工作区中的文件。	`path`
`workspace`	`fileEditorOpenEvent`	用户打开文件编辑器。	`notebookId` `path`
`workspace`	`getPermissionAssignment`	帐户管理员获取工作区的权限分配。	`account_id` `workspace_id`
`workspace`	`getRoleAssignment`	用户获取工作区的用户角色。	`account_id` `workspace_id`
`workspace`	`mintOAuthAuthorizationCode`	在工作区级别创建内部 OAuth 授权代码时记录。	`client_id`
`workspace`	`mintOAuthToken`	已为工作区创建 OAuth 令牌。	`grant_type` `scope` `expires_in` `client_id`
`workspace`	`moveWorkspaceNode`	工作区管理员移动工作区节点。	`destinationPath` `path`
`workspace`	`purgeWorkspaceNodes`	工作区管理员清除工作区节点。	`treestoreId`
`workspace`	`reattachHomeFolder`	为重新添加到工作区的用户重新附加现有主文件夹。	`path`
`workspace`	`renameWorkspaceNode`	工作区管理员重命名工作区节点。	`path` `destinationPath`
`workspace`	`unmarkHomeFolder`	从工作区中移除用户时，会同时移除主文件夹特殊属性。	`path`
`workspace`	`updateRoleAssignment`	工作区管理员更新工作区用户的角色。	`account_id` `workspace_id` `principal_id` `role`
`workspace`	`updatePermissionAssignment`	工作区管理员将主体添加到工作区。	`principal_id` `permissions`
`workspace`	`setSetting`	工作区管理员配置工作区设置。	`settingKeyTypeName` `settingKeyName` `settingTypeName` `settingName` `settingValueForAudit`
`workspace`	`workspaceConfEdit`	工作区管理员对设置进行更新，例如启用详细的审核日志。	`workspaceConfKeys` `workspaceConfValues`
`workspace`	`workspaceExport`	用户从工作区中导出笔记本。	`workspaceExportDirectDownload` `workspaceExportFormat` `notebookFullPath`
`workspace`	`workspaceInHouseOAuthClientAuthentication`	OAuth 客户端在工作区服务中进行身份验证。	`user`

工作区文件事件

以下workspaceFiles事件在工作区级别记录。此服务包括与工作区文件相关的事件。

服务	操作名称	说明	请求参数
`workspaceFiles`	`wsfsStreamingRead`	工作区文件由用户读取，或以编程方式作为工作流的一部分读取。	`path`
`workspaceFiles`	`wsfsStreamingWrite`	工作区文件由用户写入，或以编程方式作为工作流的一部分写入。	`path`
`workspaceFiles`	`wsfsImportFile`	用户将文件导入工作区。	`path`

帐户级服务

以下服务在帐户级别记录审核事件。

服务主体凭据事件（公共预览版）

以下 servicePrincipalCredentials 事件会在账户层面进行记录。这些事件与服务凭据相关。

服务	操作	说明	请求参数
`servicePrincipalCredentials`	`create`	帐户管理员为服务主体生成 OAuth 机密。	`account_id` `service_principal` `secret_id` `lifetime`
`servicePrincipalCredentials`	`list`	帐户管理员列出了服务主体下的所有 OAuth 机密。	`account_id` `service_principal`
`servicePrincipalCredentials`	`delete`	帐户管理员删除服务主体的 OAuth 机密。	`account_id` `service_principal` `secret_id`

弃用的日志事件

Databricks 已弃用以下 databrickssql 诊断事件：

createAlertDestination（现在为 createNotificationDestination）
deleteAlertDestination（现在为 deleteNotificationDestination）
updateAlertDestination（现在为 updateNotificationDestination）
muteAlert
unmuteAlert

SQL 终结点日志

如果使用弃用的 SQL 终结点 API（SQL 仓库之前的名称）创建 SQL 仓库，则相应的审核事件名称将包含单词 Endpoint 而不是 Warehouse。除了名称，这些事件与 SQL 仓库事件均相同。若要查看这些事件的说明和请求参数，请参阅 Databricks SQL 事件中的相应仓库事件。

SQL 终结点事件包括：

changeEndpointAcls
createEndpoint
editEndpoint
startEndpoint
stopEndpoint
deleteEndpoint
setEndpointConfig

Last updated on 2025-11-10

通过