Configurar a auditoria log delivery

nota

Databricks recomenda o uso da tabela do sistema audit log (system.access.audit) para acessar a auditoria do seu account logs. Consulte a referência da tabela do sistema Audit log.

Este artigo explica como configurar o fornecimento de baixa latência do registro de auditoria no formato de arquivo JSON para um bucket de armazenamento Amazon S3 .

Quando os logs de auditoria são entregues a um bucket de armazenamento S3, o senhor pode disponibilizar os dados para análise de uso. Databricks entrega um arquivo JSON separado para cada workspace em seu account e um arquivo separado para eventos de nível account. Para obter mais informações sobre o esquema de arquivos e eventos de auditoria, consulte Referência do Audit log.

Opcionalmente, o senhor pode entregar logs para um AWS account diferente do account usado para o IAM role que o senhor criou para a entrega do log. Isso permite flexibilidade, por exemplo, configurar o espaço de trabalho de várias contas AWS para entregar no mesmo bucket S3. Essa opção exige que o senhor configure uma política de bucket S3 que faça referência a uma política cruzadaaccount IAM role. Instruções e um padrão de política são fornecidos para o senhor na Etapa 3: suporte cruzado -account.

Além da entrega de logs para workspaces em execução, os logs são entregues para workspaces cancelados para garantir que os logs sejam entregues adequadamente e representem o último dia do workspace.

Requisitos

Para configurar a auditoria log delivery usando essas instruções, o senhor deve:

• Seja um administrador do account.
• Autenticar o Databricks CLI para execução account-level comando. Consulte Autenticação para a CLI do Databricks.

Fluxo de alto nível

Esta seção descreve o fluxo de alto nível da auditoria log delivery.

• Etapa 1: Configurar o armazenamento: No AWS, crie um novo bucket S3. Usando as APIs do Databricks, crie um objeto de configuração de armazenamento que use o nome do bucket.
• Etapa 2: Configurar as credenciais: Em AWS, crie as credenciais apropriadas AWS IAM role. Usando Databricks APIs, crie um objeto de configuração de credenciais que use o IAM role's ARN.
• (Opcional) Etapa 3: suporte cruzadoaccount: Para entregar logs a um AWS account que não seja o account do IAM role que o senhor criou para entrega log, adicione uma política de bucket S3. Essa política faz referência a IDs para o siteaccount IAM role que o senhor criou na etapa anterior.
• Etapa 4: Chame a entrega log API : Crie uma configuração de entrega log que use os objetos de configuração de credenciais e armazenamento das etapas anteriores.

Depois de concluir essas passos, você pode acessar os arquivos JSON. O local de entrega segue o seguinte formato:

<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json

nota

Se o senhor configurar o fornecimento de auditoria log para todo o account, os eventos de auditoria de nível accountque não estiverem associados a um único workspace serão fornecidos à partição workspaceId=0.

Considerações com base no número de espaços de trabalho

Sua configuração de entrega pode variar dependendo de quantos espaços de trabalho o senhor tem e onde eles estão localizados:

• Se o senhor tiver um workspace em seu Databricks account : Siga as instruções descritas no fluxo de alto nível, criando um único objeto de configuração para o seu workspace.

• Se o senhor tiver vários espaços de trabalho no mesmo Databricks account : Execute uma das seguintes ações:

  • Compartilhe a mesma configuração (log delivery S3 bucket e IAM role) para todos os espaços de trabalho no account. Essa é a única opção de configuração que também oferece auditoria em nível account logs. Essa é a opção default.
  • Use configurações separadas para cada workspace da conta.
  • Use configurações separadas para diferentes grupos de workspaces, cada um compartilhando uma configuração.

• Se o senhor tiver vários espaços de trabalho, cada um associado a um Databricks account : Crie objetos de configuração de credenciais e armazenamento exclusivos para cada account. O senhor pode reutilizar um bucket S3 ou IAM role entre esses objetos de configuração.

nota

O senhor pode configurar a entrega do log com a conta API mesmo que o workspace não tenha sido criado usando a conta API.

Detalhes da entrega da auditoria

Depois que o registro é ativado para o seu account, o Databricks envia automaticamente o registro de auditoria em formato legível por humanos para o seu local de entrega periodicamente.

• Latência : após a configuração inicial ou outras alterações de configuração, espere algum atraso antes que suas alterações entrem em vigor. Para a configuração inicial da auditoria log delivery, leva até uma hora para que o log delivery seja iniciado. Após o início da entrega do log, os eventos auditáveis são normalmente registrados em 15 minutos. Alterações adicionais de configuração normalmente levam uma hora para entrarem em vigor.
• Criptografia : A Databricks criptografa os logs de auditoria usando a criptografia do lado do servidor do Amazon S3.
• Formato : Databricks fornece o registro de auditoria no formato JSON.
• Local : O local de entrega é <bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json. Novos arquivos JSON são entregues a cada poucos minutos, podendo substituir os arquivos existentes. O caminho de entrega é definido como parte da configuração. Os eventos de auditoria em nível de conta que não estão associados a um único workspace são entregues à partição workspaceId=0, se o senhor tiver configurado a entrega de auditoria logs para todo o account.
  • Databricks pode substituir os arquivos log entregues em seu bucket a qualquer momento. Se um arquivo for sobrescrito, o conteúdo existente permanecerá, mas pode haver linhas adicionais para eventos mais auditáveis.
  • A substituição garante a semântica exactly-once sem exigir acesso de leitura ou exclusão ao seu site account.

Use o site log delivery APIs

A entregalog APIstem o seguinte recurso adicional:

• Obtenha todas as configurações de entrega do site log.
• Obter uma configuração de fornecimento de log por ID.
• Ativar ou desativar uma configuração de entrega log por ID.

O status de configuração de entrega de log pode ser encontrado no objeto log_delivery_status da resposta da API. Com log_delivery_status, você pode verificar o status (sucesso ou fracasso) e a última vez de uma tentativa ou entrega bem-sucedida.

Auditoria log limitações de entrega

Há um limite para o número de configurações de entrega log disponíveis por account (cada limite se aplica separadamente a cada tipo log, incluindo uso faturável e auditoria logs). O senhor pode criar no máximo duas configurações de entrega de nível accounthabilitadas (configurações sem um filtro workspace ) por tipo. Além disso, o senhor pode criar e ativar duas configurações de entrega de nível workspace por workspace para cada tipo log, o que significa que o mesmo ID workspace pode ocorrer no filtro workspace para no máximo duas configurações de entrega por tipo log.

você não pode excluir uma configuração de fornecimento de log, mas pode desativá-la. Você pode reativar uma configuração desativada, mas a solicitação falhará se violar os limites descritos anteriormente.