監査ログの配信を構成する
注:
この機能を利用するには、 プレミアムプランが必要です。
この記事では、監査ログの配信を構成する方法について説明します。
Databricks は、Databricks ユーザーが実行したアクティビティの監査ログへのアクセスを提供し、企業が詳細な Databricks の使用パターンを監視できるようにします。 ログに記録されたイベントの詳細については、「 監査ログのリファレンス」を参照してください。
Databricks アカウント所有者またはアカウント管理者は、監査ログを JSON ファイル形式で Google Cloud Storage (GCS) ストレージ バケットに配信するように構成し、使用状況分析にデータを利用できるようになります。 Databricks は、アカウント内のワークスペースごとに個別の JSON ファイルと、アカウント レベルのイベントごとに個別のファイルを提供します。
監査ログの配信を設定する
監査ログの配信を構成するには、GCS バケットを設定し、Databricks にバケットへのアクセス権を付与してから、アカウント コンソールを使用して、ログを配信する場所を Databricks に指示するログ配信構成を定義する必要があります。
ログ配信構成は作成後に編集することはできませんが、アカウント コンソールを使用してログ配信構成を一時的または永続的に無効にすることはできます。 現在有効にできる監査ログ配信構成は、最大 2 つまでです。
Google Cloud コンソール または GoogleCLI Google Cloud StorageGCPを使用して、 アカウントに バケットを作成できます。以下の手順では、Google Cloud コンソールを使用することを前提としています。
GCS バケットを作成して設定する
Google Cloud コンソールを 使用して、Google Cloud Storage GCPアカウントに バケットを作成します。
[リージョン] で [ マルチリージョン] を選択します。
[storage class (ストレージクラス)] で、一般的な使用方法として [Standard (標準 )] を選択します。 ストレージクラスについては、Googleの記事を参照してください。
コントロール アクセスの場合は、[ 均一] を選択します。
新しいバケットの「権限」タブをクリックします。
[追加]をクリックし、ストレージ バケットのサービス アカウント
log-delivery@databricks-prod-master.iam.gserviceaccount.com
をNew member
として入力します。 アクセス条件を指定せずに、サービス アカウントにCloud Storage
のStorage Admin
ロールを付与します。これは、Databricks がこのバケットの配信されたログ ファイルを書き込んで一覧表示するために必要です。 バケットのサブディレクトリのみにアクセス許可を付与することはできません。 アクセスコントロールに関する Google の記事では、きめ細かなアクセス権限のために複数のバケットを作成することを推奨しています。
ログ配信構成を作成する
ログ配信構成では、Databricks が監査ログを配信する GCS バケットの場所へのパスを定義します。
アカウント管理者として、Databricksアカウント コンソールにログインします。
「 設定」をクリックします。
[ 配信ログ] をクリックします。
[ ログ配信の追加] をクリックします。
ログ配信構成名に、Databricks アカウント内で一意の名前を追加します。 スペースを使用できます。
GCS バケット名に、GCS バケット名を指定します。
[ 配信パスのプレフィックス] で、必要に応じて、パスで使用するプレフィックスを指定します。 「 場所」を参照してください。
プレフィックスにはスラッシュを含めることができますが、スラッシュで始めることはできません。 それ以外の場合、プレフィックスには有効な GCS オブジェクト パス文字を含めることができます。 スペース文字は使用できないことに注意してください。
[ ログ配信の追加] をクリックします。
ログ配信構成を無効または有効にする
ログ配信構成は作成後に編集または削除することはできませんが、アカウント コンソールを使用してログ配信構成を一時的または永続的に無効にすることはできます。 一度に最大 2 つの監査ログ配信構成を有効にできます。
ログ配信構成を無効にするには、次のようにします。
アカウント管理者として、Databricksアカウント コンソールにログインします。
「 設定」をクリックします。
[ 配信ログ] をクリックします。
無効にするログ配信設定の横にある、名前の右側にあるケバブメニュー をクリックします。
無効にするには、 [ログ配信を無効にする] を選択します。
有効にするには、 [ ログ配信を有効にする] を選択します。
潜在
ログ配信の構成後最大 1 時間以内に監査配信が開始され、JSON ファイルにアクセスできるようになります。
監査ログの配信が開始されると、通常、監査可能なイベントは 1 時間以内にログに記録されます。 新しい JSON ファイルにより、各ワークスペースの既存のファイルが上書きされる可能性があります。 上書きにより、アカウントへの読み取りまたは削除アクセスを必要とせずに、正確に 1 回のセマンティクスが保証されます。
ログ配信構成の有効化または無効化は、有効になるまでに最大で 1 時間かかる場合があります。
場所
配送場所は次のとおりです。
gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json
オプションの配信パスプレフィックスを省略すると、配信パスには <delivery-path-prefix>/
が含まれません。
単一のワークスペースに関連付けられていないアカウント レベルの監査イベントは、 workspaceId=0
パーティションに配信されます。
Databricksを使用して監査ログを分析する方法の詳細については、 「監査ログ システム テーブル リファレンス」を参照してください。