メインコンテンツまでスキップ

監査ログの配信を構成する

注記

Databricks 、アカウントの監査ログにアクセスするには、監査ログシステムテーブル(system.access.audit)を使用することをお勧めします。 Audit log システムテーブルリファレンスを参照してください。

注記

この機能には Premium プランが必要です。

この記事では、監査ログの配信を構成する方法について説明します。

Databricks では、Databricks ユーザーが実行したアクティビティの監査ログにアクセスできるため、企業は詳細な Databricks の使用パターンを監視できます。 ログに記録されたイベントの詳細については、「 監査ログのリファレンス」を参照してください。

Databricks アカウントの所有者またはアカウント管理者は、JSON ファイル形式の監査ログを Google Cloud Storage (GCS) ストレージ バケットに配信するように設定して、データを使用状況分析に使用できるようにすることができます。 Databricks は、アカウント内のワークスペースごとに個別の JSON ファイルと、アカウント レベルのイベント用に個別のファイルを提供します。

監査ログの配信を設定する

監査ログの配信を構成するには、GCS バケットを設定し、Databricks にバケットへのアクセス権を付与してから、 アカウント コンソール を使用して、ログの配信場所を Databricks に指示する ログ配信構成 を定義する必要があります。

ログ配信設定は作成後に編集できませんが、アカウントコンソールを使用してログ配信設定を一時的または永続的に無効にすることができます。 現在有効になっている監査ログ配信構成は、最大 2 つまで設定できます。

Google Cloud Console または Google CLI を使用して、GCP アカウントに Google Cloud Storage バケットを作成できます。次の手順は、Google Cloud Console を使用することを前提としています。

GCS バケットを作成して構成する

  1. Google Cloud コンソールを 使用して、Google Cloud Storage GCPアカウントに バケットを作成します。

    • [リージョン] で [ マルチリージョン ] を選択します。
    • ストレージクラスについては、一般的な使用方法として [Standard ] を選択します。 ストレージクラスについては、Googleの記事を参照してください。
    • コントロールアクセスの場合は、[ Uniform] を選択します。

  2. 新しいバケットの [Permissions ] タブをクリックします。

  3. [ ADD ] をクリックし、ストレージ バケットのNew memberとしてサービス アカウント log-delivery@databricks-prod-master.iam.gserviceaccount.comを入力します。サービスアカウントに Cloud StorageStorage Admin ロールを付与し、アクセス条件を指定せずに付与します。

    これは、Databricks がこのバケットの配信済みログ ファイルを書き込んで一覧表示するために必要です。 バケットのサブディレクトリだけに権限を付与することはできません。 アクセス制御に関する Google の記事では、詳細なアクセス権限のために複数のバケットを作成することを推奨しています。

    ログ配信バケットの権限

ログ配信設定の作成

ログ配信構成では、Databricks で監査ログを配信する GCS バケットの場所へのパスを定義します。

  1. アカウント管理者として、Databricks アカウント コンソールにログインします。

  2. [設定 ] をクリックします。

  3. [ ログ配信 ] をクリックします。

    ログ配信の設定

  4. [ ログ配信の追加 ] をクリックします。

  5. [ログ配信構成名 ] に、Databricks アカウント内で一意な名前を追加します。スペースは使用できます。

  6. [GCS バケット名 ] で、GCS バケット名を指定します。

  7. [配信パスのプレフィックス ] で、必要に応じて、パスで使用するプレフィックスを指定します。「場所」を参照してください。

    プレフィックスにはスラッシュ文字を含めることができますが、スラッシュで始めることはできません。 それ以外の場合、プレフィックスには有効な GCS オブジェクト パス文字を含めることができます。 スペース文字は使用できません。

  8. [ ログ配信の追加 ] をクリックします。

ログ配信設定を無効化または有効化する

ログ配信設定は作成後に編集または削除できませんが、アカウントコンソールを使用してログ配信設定を一時的または永続的に無効にすることができます。 一度に最大 2 つの監査ログ配信設定を有効にできます。

ログ配信設定を無効にするには:

  1. アカウント管理者として、Databricks アカウント コンソールにログインします。
  2. [設定 ] をクリックします。
  3. [ ログ配信 ] をクリックします。
  4. 無効にするログ配信設定の横にある、名前の右側にあるケバブメニュー ケバブメニュー をクリックします。
    • 無効にするには、[ ログ配信を無効にする] を選択します。
    • 有効にするには、 [ ログ配信を有効にする] を選択します。

潜在

  • ログ配信の設定から最大1時間後までは、監査配信が開始され、JSONファイルにアクセスできるようになります。
  • 監査ログの配信が開始されると、通常、監査可能なイベントは 1 時間以内にログに記録されます。 新しい JSON ファイルは、各ワークスペースの既存のファイルを上書きする可能性があります。 上書きにより、アカウントへの読み取りまたは削除アクセス権を必要とせずに、正確に一度のセマンティクスが保証されます。
  • ログ配信設定を有効または無効にすると、有効になるまでに最大 1 時間かかる場合があります。

場所

配送場所は次のとおりです。

gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json

オプションの配信パスプレフィックスを省略すると、配信パスには <delivery-path-prefix>/は含まれません。

単一のワークスペースに関連付けられていないアカウントレベルの監査イベントは、 workspaceId=0 パーティションに配信されます。

Databricksを使用した監査ログの分析の詳細については、「監査ログ システムテーブル リファレンス」を参照してください。

最終更新