分析審計日誌係統表

預覽

這個特性是在公共預覽。

本文概述了審計日誌表模式和為您提供示例查詢可以使用與係統審計日誌表回答共同賬戶的使用問題。審計日誌事件的更多信息,請參閱審計日誌引用。

審計日誌表位於係統system.access.audit。

審計日誌可用性

大多數審計日誌都隻能在該地區的工作空間。
隻有統一目錄戶頭級別日誌可用在所有地區。

審計日誌係統表模式

審計日誌係統表使用以下模式:

列名	數據類型	描述	例子
`版本`	字符串	審計日誌模式版本	`2.0`
`event_time`	時間戳	時間戳	`2023 - 01 - 01 - t01:01:01.123`
`event_date`	日期	以上日期,用於分區和刪除記錄保留政策(30天)	`2023-01-01`
`workspace_id`	長	ID的工作區	`1234567890123456`
`source_ip_address`	字符串	IP地址請求源自哪裏	`10.30.0.242`
`user_agent`	字符串	發放的請求	`Apache-HttpClient / 4.5.13(Java / 1.8.0_345)`
`session_id`	字符串	會話的ID請求是從哪裏來的	`123456789`
`user_identity`	字符串	用戶發起請求的身份	`{“電子郵件”:“user@domain.com”,“subjectName”:零}`
`service_name`	字符串	服務名稱發起請求	`unityCatalog`
`action_name`	字符串	類別的事件在審計日誌	`可以獲得的`
`request_id`	字符串	ID的請求	`servicemain - 4529754264`
`request_params`	地圖	包含所有請求參數映射的鍵值。取決於請求類型	`[[“full_name_arg”,“user.chat.messages”),` `[" workspace_id ",“123456789”),` `[" metastore_id ",“123456789”]`
`響應`	結構體	結構的響應返回值	`{“statusCode”:200年,“errorMessage”:空,“結果”:零}`
`audit_level`	字符串	工作區或帳戶級別的事件	`ACCOUNT_LEVEL`
`account_id`	字符串	ID的帳戶	`23 e22ba4 - 87 - b9 - 4 - cc2 - 9770 d10b894bxx`
`event_id`	字符串	ID的事件	`34 ac703c772f3549dcc8671f654950f0`

示例查詢

以下部分包括示例查詢可以使用獲得的見解與你的審計日誌係統表。對這些查詢工作,取代花括號內的值{{}}用你自己的參數。

請注意

其中的一些例子包括詳細的審計日誌事件,不默認啟用。在工作區,啟用詳細審計日誌啟用詳細審計日誌。

本文包括以下示例查詢:

這個表訪問誰?

這個查詢使用information_schema。

              選擇截然不同的(受讓人)作為”可訪問的通過”從係統。information_schema。table_privileges在哪裏table_schema=“{{schema_name}}”和table_name=“{{table_name}}”聯盟選擇table_owner從係統。information_schema。表在哪裏table_schema=“{{schema_name}}”和table_name=“{{表}}”聯盟選擇截然不同的(受讓人)從係統。information_schema。schema_privileges在哪裏schema_name=“{{schema_name}}”
             

哪些用戶訪問一個表內最後一天嗎?

請注意

全名是不捕獲日誌的DML操作。包括捕獲所有模式和簡單的名稱。

              選擇user_identity。電子郵件作為”用戶”,IFNULL(request_params。full_name_arg,request_params。的名字)作為”表”,action_name作為”類型的訪問”,event_time作為”時間的訪問”從係統。訪問。審計在哪裏request_params。full_name_arg=“{{catalog.schema.table}}”或(request_params。的名字=“{{table_name}}”和request_params。schema_name=“{{schema_name}}”)和action_name在(“不知道”,“能得到的”,“deleteTable”)和datediff(現在(),event_date)<1訂單通過event_dateDESC
             

做了一個用戶訪問哪些表?

請注意

過濾的日期範圍,取消日期查詢子句的底部。

              選擇action_name作為”事件”,event_time作為”當”,IFNULL(request_params。full_name_arg,非特異性的)作為”表訪問”,IFNULL(request_params。commandText,“表”)作為”查詢文本”從係統。訪問。審計在哪裏user_identity。電子郵件=“{{User}}”和action_name在(“不知道”,“commandSubmit”,“能得到的”,“deleteTable”)——datediff(現在(),event_date) < 1——由event_date DESC秩序
             

例子的結果

`事件`	`當`	`表訪問`	`查詢文本`
`可以獲得的`	`2023-05-31`	`system.access.audit`	`得到表`
`可以獲得的`	`2023-05-31`	`system.access.table_lineage`	`得到表`
`commandSubmit`	`2023-05-31`	`非特異性`	`顯示函數;`
`commandSubmit`	`2023-05-31`	`非特異性`	`選擇` `request_params` `從` `system.access.audit` `在哪裏` `service_name=“筆記本”` `和action_name=“moveFolder”` `限製` `5`

視圖的權限更改為所有可獲得的對象

這個查詢將返回一個事件為每個許可變化發生在您的帳戶。查詢將返回的用戶做了改變,可到手的對象類型和名稱,具體變化。

              選擇event_time,user_identity。電子郵件,request_params。securable_type,request_params。securable_full_name,request_params。變化從係統。訪問。審計在哪裏service_name=“unityCatalog”和action_name=“updatePermissions”訂單通過1DESC
             

查看最近運行筆記本命令

這個查詢返回最近運行筆記本命令的用戶運行命令。

請注意

的runCommand行動隻是發出詳細審計日誌時啟用。要啟用詳細的審計日誌,看看啟用詳細審計日誌。

              選擇event_time,user_identity。電子郵件,request_params。commandText從係統。訪問。審計在哪裏action_name=”runCommand”訂單通過event_timeDESC限製One hundred.
             