Registro e monitoramento para aplicativos Databricks
O registro e o monitoramento eficazes ajudam o senhor a detectar e responder a eventos de segurança nos aplicativos Databricks. Os aplicativos geram auditoria em nível de aplicativo logs e de plataforma logs, que o senhor pode usar para diagnóstico, acompanhamento de desempenho e análise de segurança.
Aplicativo logs
Para disponibilizar o logs na UI do aplicativo Databricks ou por meio do URL do seu aplicativo, ele deve gravar a saída em stdout e stderr.
O senhor pode acessar o log do aplicativo das seguintes maneiras:
- UI dos aplicativos : Na página de detalhes do aplicativo, clique nos registros tab para view a saída padrão e o erro. Para obter detalhes, consulte Exibir detalhes do aplicativo.
- URL direta : anexe
/logzao URL do seu aplicativo.
Por exemplo, se o URL do seu aplicativo forhttps://my-app-1234567890.my-instance.databricksapps.com, logs estará disponível em
https://my-app-1234567890.my-instance.databricksapps.com/logz.
Práticas de registro recomendadas
Para permitir a integração com sistemas externos de monitoramento e alerta em tempo real:
-
Formate o registro em JSON ou em outros formatos analisáveis por máquina.
-
Registre eventos relevantes para a segurança com contexto:
- Eventos de autenticação e autorização, incluindo identidade e resultado do usuário
- Detalhes do acesso aos dados, como nomes de catálogos, esquemas e tabelas
- Erros relacionados à segurança, como tokens inválidos, recusas de permissão e atividades suspeitas
-
Encaminhar logs para sistemas externos. Integre-se às ferramentas de monitoramento de desempenho de aplicativos (APM) ou de agregação log para oferecer suporte a alertas de tempo real, resposta a incidentes de segurança, análise de uso e desempenho e correlação com o sistema Databricks logs.
Auditoria logs com tabelas do sistema
O Databricks captura logs de auditoria para atividades relacionadas ao aplicativo na tabela system.access.audit. O senhor pode consultar esses logs para rastrear ações do usuário, alterações na configuração do aplicativo e eventos de segurança.
Use os logs de auditoria para dar suporte aos seguintes cenários comuns de monitoramento e segurança:
- Acompanhe a atividade de login do aplicativo . Consulte Logins de aplicativos.
- Monitore as alterações nas permissões . Consulte Alterações de permissão.
- Audite a criação e modificação de aplicativos . Consulte Criação de aplicativos.
- Analise o comportamento do usuário nos aplicativos . Consulte Ações do usuário.
Exemplos de consultas
A consulta a seguir detecta alterações nas permissões do aplicativo:
-- Monitor all app permission modifications in the last 30 days
WITH permission_changes AS (
SELECT
event_date,
workspace_id,
request_params.request_object_id AS app_name,
user_identity.email AS modified_by,
explode(from_json(
request_params.access_control_list,
'array<struct<user_name:string,group_name:string,permission_level:string>>'
)) AS permission
FROM system.access.audit
WHERE action_name = 'changeAppsAcl'
AND event_date >= current_date() - 30
)
SELECT
event_date,
app_name,
modified_by,
permission.user_name,
permission.group_name,
permission.permission_level
FROM permission_changes
ORDER BY event_date DESC
A consulta a seguir identifica aplicativos com escopos de API de usuário:
-- Find apps created or updated in the last 30 days with user API scopes configured
SELECT
event_date,
get_json_object(request_params.app, '$.name') AS app_name,
user_identity.email AS creator_email,
get_json_object(request_params.app, '$.user_api_scopes') AS user_api_scopes
FROM system.access.audit
WHERE
action_name IN ('createApp', 'updateApp')
AND get_json_object(request_params.app, '$.user_api_scopes') IS NOT NULL
AND event_date >= current_date() - INTERVAL 30 DAYS
Considerações de segurança para registro
Databricks Os aplicativos são projetados com os seguintes controles integrados para evitar a exfiltração de dados:
- Acesso somente à API : Os aplicativos só podem acessar Databricks recurso por meio de Databricks APIs público. Esses APIs são auditáveis por meio da tabela do sistema logs.
- Comunicação criptografada : Todo o tráfego da API é criptografado usando TLS 1.2 ou superior para garantir a segurança da transferência de dados.