Pular para o conteúdo principal

Registro e monitoramento para aplicativos Databricks

O registro e o monitoramento eficazes ajudam o senhor a detectar e responder a eventos de segurança nos aplicativos Databricks. Os aplicativos geram auditoria em nível de aplicativo logs e de plataforma logs, que o senhor pode usar para diagnóstico, acompanhamento de desempenho e análise de segurança.

Aplicativo logs

nota

Para disponibilizar o logs na UI do aplicativo Databricks ou por meio do URL do seu aplicativo, ele deve gravar a saída em stdout e stderr.

O senhor pode acessar o log do aplicativo das seguintes maneiras:

  • UI dos aplicativos : Na página de detalhes do aplicativo, clique nos registros tab para view a saída padrão e o erro. Para obter detalhes, consulte Exibir detalhes do aplicativo.
  • URL direta : anexe /logz ao URL do seu aplicativo.
    Por exemplo, se o URL do seu aplicativo for https://my-app-1234567890.my-instance.databricksapps.com, logs estará disponível em
    https://my-app-1234567890.my-instance.databricksapps.com/logz.

Práticas de registro recomendadas

Para permitir a integração com sistemas externos de monitoramento e alerta em tempo real:

  • Formate o registro em JSON ou em outros formatos analisáveis por máquina.

  • Registre eventos relevantes para a segurança com contexto:

    • Eventos de autenticação e autorização, incluindo identidade e resultado do usuário
    • Detalhes do acesso aos dados, como nomes de catálogos, esquemas e tabelas
    • Erros relacionados à segurança, como tokens inválidos, recusas de permissão e atividades suspeitas
  • Encaminhar logs para sistemas externos. Integre-se às ferramentas de monitoramento de desempenho de aplicativos (APM) ou de agregação log para oferecer suporte a alertas de tempo real, resposta a incidentes de segurança, análise de uso e desempenho e correlação com o sistema Databricks logs.

Auditoria logs com tabelas do sistema

O Databricks captura logs de auditoria para atividades relacionadas ao aplicativo na tabela system.access.audit. O senhor pode consultar esses logs para rastrear ações do usuário, alterações na configuração do aplicativo e eventos de segurança.

Use os logs de auditoria para dar suporte aos seguintes cenários comuns de monitoramento e segurança:

Exemplos de consultas

A consulta a seguir detecta alterações nas permissões do aplicativo:

SQL
-- Monitor all app permission modifications in the last 30 days
WITH permission_changes AS (
SELECT
event_date,
workspace_id,
request_params.request_object_id AS app_name,
user_identity.email AS modified_by,
explode(from_json(
request_params.access_control_list,
'array<struct<user_name:string,group_name:string,permission_level:string>>'
)) AS permission
FROM system.access.audit
WHERE action_name = 'changeAppsAcl'
AND event_date >= current_date() - 30
)
SELECT
event_date,
app_name,
modified_by,
permission.user_name,
permission.group_name,
permission.permission_level
FROM permission_changes
ORDER BY event_date DESC

A consulta a seguir identifica aplicativos com escopos de API de usuário:

SQL
-- Find apps created or updated in the last 30 days with user API scopes configured
SELECT
event_date,
get_json_object(request_params.app, '$.name') AS app_name,
user_identity.email AS creator_email,
get_json_object(request_params.app, '$.user_api_scopes') AS user_api_scopes
FROM system.access.audit
WHERE
action_name IN ('createApp', 'updateApp')
AND get_json_object(request_params.app, '$.user_api_scopes') IS NOT NULL
AND event_date >= current_date() - INTERVAL 30 DAYS

Considerações de segurança para registro

Databricks Os aplicativos são projetados com os seguintes controles integrados para evitar a exfiltração de dados:

  • Acesso somente à API : Os aplicativos só podem acessar Databricks recurso por meio de Databricks APIs público. Esses APIs são auditáveis por meio da tabela do sistema logs.
  • Comunicação criptografada : Todo o tráfego da API é criptografado usando TLS 1.2 ou superior para garantir a segurança da transferência de dados.