監査ログ システムテーブル参照
プレビュー
このシステムテーブルは パブリック プレビュー段階です。 テーブルにアクセスするには、 system
カタログでスキーマを有効にする必要があります。 詳細については、「 システムテーブル スキーマを有効にする」を参照してください。
この記事では、監査ログ テーブル スキーマの概要を示し、監査ログ システム テーブルで使用してアカウントの使用に関する一般的な質問に答えるサンプル クエリを示します。 監査ログ イベントの詳細については、 「監査ログ リファレンス」を参照してください。
監査ログシステムテーブルはsystem.access.audit
にあります。
監査ログに関する考慮事項
ほとんどの監査ログは、ワークスペースのリージョン内でのみ利用できます。
すべてのリージョンで利用できるのは、Unity Catalog アカウントレベルのログのみです。
アカウントレベルの監査ログでは、
workspace_id
0
として記録されます。
監査ログ・システムテーブルスキーマ
監査ログ システムテーブルは次のスキーマを使用します。
列名 |
データ型 |
説明 |
例 |
---|---|---|---|
|
string |
監査ログ スキーマのバージョン |
|
|
timestamp |
イベントのタイムスタンプ。 タイムゾーン情報は値の最後に記録され、 |
|
|
日付 |
アクションが発生したカレンダーの日付 |
|
|
ロング |
ワークスペースのID |
|
|
string |
要求の発信元の IP アドレス |
|
|
string |
要求の発信元 |
|
|
string |
要求の送信元のセッションの ID |
|
|
string |
要求を開始するユーザーの ID |
|
|
string |
リクエストを開始したサービス名 |
|
|
string |
監査ログでキャプチャされたイベントのカテゴリ |
|
|
string |
要求の ID |
|
|
マップ |
すべてのリクエストを含むキー値のマップ。 要求の種類によって異なります |
|
|
構造体 |
応答の戻り値の構造体 |
|
|
string |
ワークスペースまたはアカウントレベルのイベント |
|
|
string |
アカウントのID |
|
|
string |
イベントの ID |
|
サンプル クエリ
次のセクションには、監査ログ システムテーブルを調査するために使用できるサンプル クエリが含まれています。 これらのクエリを機能させるには、中括弧{{}}
内の値を独自の値に置き換えます。
注:
これらの例の一部には、デフォルトでは有効になっていない詳細な監査ログ イベントが含まれています。 ワークスペースで詳細な監査ログを有効にするには、 「詳細な監査ログを有効にする」を参照してください。
この記事には、次のクエリの例が含まれています。
このテーブルにアクセスできるのは誰ですか?
このクエリでは、 information_schema
を使用して、テーブルに対するアクセス許可を持つユーザーを調べます。
SELECT DISTINCT(grantee) AS `ACCESSIBLE BY`
FROM system.information_schema.table_privileges
WHERE table_schema = '{{schema_name}}' AND table_name = '{{table_name}}'
UNION
SELECT table_owner
FROM system.information_schema.tables
WHERE table_schema = '{{schema_name}}' AND table_name = '{{table}}'
UNION
SELECT DISTINCT(grantee)
FROM system.information_schema.schema_privileges
WHERE schema_name = '{{schema_name}}'
前日にテーブルにアクセスしたユーザーは誰ですか?
注:
フルネームは、DML 操作のログにキャプチャされません。 スキーマと単純名を含めて、すべてをキャプチャします。
SELECT
user_identity.email as `User`,
IFNULL(request_params.full_name_arg,
request_params.name)
AS `Table`,
action_name AS `Type of Access`,
event_time AS `Time of Access`
FROM system.access.audit
WHERE (request_params.full_name_arg = '{{catalog.schema.table}}'
OR (request_params.name = '{{table_name}}'
AND request_params.schema_name = '{{schema_name}}'))
AND action_name
IN ('createTable','getTable','deleteTable')
AND event_date > now() - interval '1 day'
ORDER BY event_date DESC
ユーザーがアクセスしたテーブルはどれか。
注:
日付範囲でフィルタリングするには、クエリの下部にある日付句のコメントアウトを解除します。
SELECT
action_name as `EVENT`,
event_time as `WHEN`,
IFNULL(request_params.full_name_arg, 'Non-specific') AS `TABLE ACCESSED`,
IFNULL(request_params.commandText,'GET table') AS `QUERY TEXT`
FROM system.access.audit
WHERE user_identity.email = '{{User}}'
AND action_name IN ('createTable',
'commandSubmit','getTable','deleteTable')
-- AND datediff(now(), event_date) < 1
-- ORDER BY event_date DESC
結果の例
|
|
|
|
---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
すべてのセキュリティ保護可能なオブジェクトの権限の変更を表示する
このクエリは、アカウントで発生したすべての権限変更のイベントを返します。 クエリは、変更を行ったユーザー、セキュリティ保護可能なオブジェクトの種類と名前、および行われた特定の変更を返します。
SELECT event_time, user_identity.email, request_params.securable_type, request_params.securable_full_name, request_params.changes
FROM system.access.audit
WHERE service_name = 'unityCatalog'
AND action_name = 'updatePermissions'
ORDER BY 1 DESC
最近実行したノートブックコマンドを表示する
このクエリは、最後に実行されたコンピューター コマンドと、そのコマンドを実行したユーザーを返します。
注:
runCommand
アクションは、詳細な監査ログが有効になっている場合にのみ出力されます。詳細監査ログを有効にするには、「 詳細監査ログを有効にする」を参照してください。
SELECT event_time, user_identity.email, request_params.commandText
FROM system.access.audit
WHERE action_name = `runCommand`
ORDER BY event_time DESC
LIMIT 100