ユーザーの棚卸しをしたい場合に有益な情報が「ユーザーが最後にログインしたのはいつか」というものです。
これまでも監査ログで取得自体は可能だったのですが、いかんせん設定が大変。しかし、今回システムテーブルがサポートされたことで簡単にクエリーすることができるようになりました。
システムテーブルの設定
こちらを参考に監査ログのシステムテーブルを有効化して下さい。
クエリーの作成
Databricks SQLにアクセスして、以下のクエリーを実行します。
SQL
SELECT
user_identity.email, -- JSONからメールアドレスを抽出
MAX(event_time) AS last_login -- 最終ログイン日時
FROM
system.access.audit
WHERE
(
action_name = "login" -- ワークスペースログイン
OR action_name = "tokenLogin" -- パーソナルアクセストークンによるログイン
OR action_name = "aadBrowserLogin" -- Azure ADトークンによるログイン
)
GROUP BY
user_identity
ORDER BY
last_login DESC
監査ログのスキーマや分析のサンプルはこちらにありますので、色々な観点で分析に活用してください!