Naplózási naplórendszer táblareferenciája

Ez a cikk ismerteti a naplózási naplótábla sémáját, és minta lekérdezéseket tartalmaz, amelyek a naplórendszer táblájával a fióktevékenységekkel kapcsolatos gyakori kérdések megválaszolásához használhatók. A naplóeseményekkel kapcsolatos információkért lásd a diagnosztikai naplókra vonatkozó referenciát.

Tábla elérési útja: Ez a rendszertábla a system.access.audittalálható.

• A legtöbb naplózási napló csak a munkaterület régiójában érhető el.
• A fiókszintű naplók a workspace_id-t 0-ként rögzítik.

A naplózási naplórendszer táblázata a következő sémát használja:

A következő szakaszok olyan SQL-minta lekérdezéseket tartalmaznak, a segítségével betekintést nyerhet az auditnaplók rendszertáblájába.

Ez a cikk a következő példa lekérdezéseket tartalmazza:

• Ki férhet hozzá ehhez a táblához?
• Mely felhasználók fértek hozzá egy táblához az elmúlt hét napban?
• Mely táblákhoz fért hozzá a felhasználó a közelmúltban?
• Az összes biztonságos objektum engedélymódosításainak megtekintése
• A legutóbb futtatott jegyzetfüzetparancsok megtekintése
• Mely felhasználók jelentkeztek be egy Databricks-alkalmazásba?
• Mely Databricks-alkalmazások lettek frissítve, hogy megváltoztassa az alkalmazás más felhasználókkal vagy csoportokkal való megosztását?

Ez a lekérdezés a information_schema használja annak meghatározására, hogy mely felhasználók rendelkeznek engedéllyel egy táblán. Adja meg a katalógus, a séma és a táblanév paramétereinek értékeit.

SELECT DISTINCT(grantee), privilege_type, 'catalog' AS level
FROM system.information_schema.catalog_privileges
WHERE
  catalog_name = :catalog_name
UNION
SELECT DISTINCT(grantee), privilege_type, 'schema' AS level
FROM system.information_schema.schema_privileges
WHERE
  catalog_name = :catalog_name AND schema_name = :schema_name
UNION
SELECT DISTINCT(grantee) AS `accessible by`, privilege_type, 'table' AS level
FROM
  system.information_schema.table_privileges
WHERE
  table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name
UNION
SELECT table_owner, 'ALL_PRIVILEGES' AS privilege_type, 'owner' AS level
FROM system.information_schema.tables
WHERE
  table_catalog = :catalog_name AND table_schema = :schema_name AND table_name = :table_name

A lekérdezés működéséhez adja meg a tábla elérési útjának adatait a lekérdezési paraméterekben.

SELECT
  user_identity.email as `User`,
  IFNULL(
    request_params.full_name_arg,
    request_params.name
  ) AS `Table`,
  action_name AS `Type of Access`,
  event_time AS `Time of Access`
FROM
  system.access.audit
WHERE
  (
    request_params.full_name_arg = :table_full_name
    OR (
      request_params.name = :table_name
      AND request_params.schema_name = :schema_name
    )
  )
  AND action_name IN ('createTable', 'getTable', 'deleteTable')
  AND event_date > now() - interval 7 day
ORDER BY
  event_date DESC

A lekérdezés működéséhez adja meg a felhasználó e-mail-címét a :User paraméterben, és egy számot a :days_ago paraméterben.

SELECT
  action_name as `EVENT`,
  event_time as `WHEN`,
  IFNULL(request_params.full_name_arg, 'Non-specific') AS `TABLE ACCESSED`,
  IFNULL(request_params.commandText, 'GET table') AS `QUERY TEXT`
FROM
  system.access.audit
WHERE
  user_identity.email = :User
  AND action_name IN (
    'createTable',
    'commandSubmit',
    'getTable',
    'deleteTable'
  )
  AND datediff(now(), event_date) < :days_ago
ORDER BY
  event_date DESC

Ez a lekérdezés egy eseményt ad vissza a fiókban történt összes engedélymódosításhoz. A lekérdezés visszaadja a módosítást végző felhasználót, a biztonságos objektum típusát és nevét, valamint a végrehajtott módosításokat.

SELECT event_time, user_identity.email, request_params.securable_type, request_params.securable_full_name, request_params.changes
FROM system.access.audit
WHERE service_name = 'unityCatalog'
  AND action_name = 'updatePermissions'
ORDER BY 1 DESC

Ez a lekérdezés a legutóbb futtatott jegyzetfüzet-parancsokat és a parancsot futtató felhasználót adja vissza.

SELECT event_time, user_identity.email, request_params.commandText
FROM system.access.audit
WHERE action_name = `runCommand`
ORDER BY event_time DESC
LIMIT 100

Ez a lekérdezés egy Databricks-alkalmazáspéldányba való minden bejelentkezéshez egy eseményt ad vissza.

SELECT
  event_date,
  workspace_id,
  request_params.request_object_id as app,
  user_identity.email as user_email,
  user_identity.subject_name as username
FROM
  system.access.audit
WHERE
  action_name IN ("workspaceInHouseOAuthClientAuthentication", "mintOAuthToken", "mintOAuthAuthorizationCode")
AND
  request_params["client_id"] LIKE "{{application-ID}}"
GROUP BY
  event_date,
  workspace_id,
  app,
  user_email,
  username

Cserélje le {{application-ID}} az alkalmazásazonosító értékére, amely egy adott Databricks-alkalmazáshoz hozzárendelt szolgáltatásnévhez tartozik. Ez az érték az alkalmazást üzemeltető Databricks-munkaterület rendszergazdai beállításai között található.

Ez a lekérdezés az engedélyfrissítések eseményeit adja vissza a Databricks-alkalmazásokhoz való hozzáférés módosításához, beleértve az engedélytípust, azt a felhasználót vagy csoportot, amelyhez az új engedély hozzá van rendelve, valamint a módosítást beküldő felhasználót.

SELECT
  event_date,
  workspace_id,
  request_params['request_object_id'] as app,
  user_identity['email'] as sharing_user,
  acl_entry['group_name'],
  acl_entry['user_name'],
  acl_entry['permission_level']
FROM
  system.access.audit t
LATERAL VIEW
  explode(from_json(request_params['access_control_list'], 'array<struct<user_name:string,permission_level:string,group_name:string>>')) acl_entry AS acl_entry
WHERE
  action_name = 'changeAppsAcl'
AND
  request_params['request_object_type'] = 'apps'
ORDER BY
  event_date DESC