Configurar a auditoria log delivery
Esse recurso requer o plano Premium.
Este artigo descreve como configurar o fornecimento de auditoria logs.
Databricks fornece acesso à auditoria logs das atividades realizadas pelos usuários do Databricks, permitindo que sua empresa monitore os padrões detalhados de uso do Databricks. Para obter detalhes sobre eventos de registros, consulte Referência do Audit log.
Como proprietário do Databricks account ou administrador do account, o senhor pode configurar a entrega do log de auditoria no formato de arquivo JSON para um bucket de armazenamento Google Cloud Storage (GCS), onde pode disponibilizar os dados para análise de uso. Databricks entrega um arquivo JSON separado para cada workspace em seu account e um arquivo separado para eventos de nível account.
Configurar auditoria log delivery
Para configurar a entrega de auditoria log, é necessário configurar um bucket GCS, conceder acesso ao bucket a Databricks e, em seguida, usar o consoleaccount para definir uma configuração de entregalog que informe a Databricks onde entregar seu logs.
Não é possível editar uma configuração de entrega log após a criação, mas o senhor pode desativar temporária ou permanentemente uma configuração de entrega log usando o console account. O senhor pode ter no máximo duas configurações de fornecimento de log de auditoria ativadas no momento.
O senhor pode usar o Google Cloud Console ou o Google CLI para criar um bucket Google Cloud Storage em seu GCP account. As instruções a seguir pressupõem que você usará o Google Cloud Console.
Criar e configurar seu bucket GCS
-
Use o Google Cloud Console para criar um bucket Google Cloud Storage em seu GCP account.
- Para região, escolha multirregião.
- Para a classe de armazenamento, escolha Padrão para uso típico. Veja os artigos do Google para aulas de armazenamento.
- Para controlar o acesso, escolha Uniforme .
-
Clique em Permissions (Permissões ) tab em seu novo bucket.
-
Clique em ADD e, em seguida, insira a conta de serviço
log-delivery@databricks-prod-master.iam.gserviceaccount.com
comoNew member
do bucket de armazenamento. Conceder à conta de serviço a funçãoStorage Admin
emCloud Storage
, sem especificar uma condição de acesso.Isso é necessário para que o Databricks grave e liste os arquivos de log entregues para esse bucket. Você não pode dar permissão somente para um subdiretório de bucket. Consulte os artigos do Google sobre controle de acesso, que recomendam que o senhor crie vários buckets para obter permissões de acesso granular.
Criar uma configuração de entrega log
Uma configuração de entrega de log define o caminho para o local do bucket do GCS em que o senhor deseja que o Databricks entregue seus logs de auditoria.
-
account log in Como Databricks account administrador do, acesse o console.
-
Clique em Configurações .
-
Clique em entrega de registros .
-
Clique em Add log delivery .
-
Em log delivery configuration name , adicione um nome que seja exclusivo em seu site Databricks account. Espaços são permitidos.
-
Em GCS bucket name , especifique o nome do seu bucket GCS.
-
Em Prefixo do caminho de entrega , opcionalmente, especifique um prefixo a ser usado no caminho. Veja a localização.
O prefixo pode incluir caracteres de barra, mas não pode começar com uma barra. Caso contrário, o prefixo pode incluir qualquer caractere válido do caminho do objeto GCS. Observe que caracteres de espaço não são permitidos.
-
Clique em Add log delivery .
Desativar ou ativar uma configuração de entrega log
Não é possível editar ou excluir uma configuração de entrega log após a criação, mas o senhor pode desativar temporária ou permanentemente uma configuração de entrega log usando o console account. O senhor pode ter no máximo duas configurações de fornecimento de log de auditoria ativadas por vez.
Para desativar uma configuração de entrega log:
- account log in Como Databricks account administrador do, acesse o console.
- Clique em Configurações .
- Clique em entrega de registros .
- Ao lado da configuração de fornecimento de log que deseja desativar, clique no menu kebab
à direita do nome.
- Para desativá-lo, selecione Disable log delivery .
- Para ativá-la, selecione Enable log delivery .
Latência
- Até uma hora após a configuração do fornecimento de log, o fornecimento de auditoria começa e o senhor pode acessar os arquivos JSON.
- Após o início da entrega da auditoria log, os eventos auditáveis são normalmente registrados em uma hora. Os novos arquivos JSON podem substituir os arquivos existentes para cada workspace. A substituição garante a semântica exactly-once sem exigir acesso de leitura ou exclusão ao seu site account.
- A ativação ou desativação de uma configuração de entrega log pode levar até uma hora para entrar em vigor.
Localização
O local de entrega é:
gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json
Se o prefixo do caminho de entrega opcional for omitido, o caminho de entrega não incluirá <delivery-path-prefix>/
.
Os eventos de auditoria no nível da conta que não estão associados a nenhum workspace são entregues à partição workspaceId=0
.
Para obter mais informações sobre a análise da auditoria logs usando Databricks, consulte Referência da tabela do sistema Audit log.