監査ログ配信 を構成する

この機能を利用するには、 プレミアムプランが必要です。

この記事では、監査ログの配信を構成する方法について説明します。

Databricks では、Databricks ユーザーが実行したアクティビティの監査ログにアクセスできるため、企業は詳細な Databricks の使用パターンを監視できます。 ログに記録されたイベントの詳細については、「 監査ログのリファレンス」を参照してください。

Databricks アカウント所有者またはアカウント管理者は、監査ログを JSON ファイル形式で Google Cloud Storage (GCS) ストレージ バケットに配信するように構成し、データを使用状況分析に使用できるようにすることができます。 Databricks は、アカウント内のワークスペースごとに個別の JSON ファイルを提供し、アカウント レベルのイベント用に個別のファイルを提供します。

監査ログの配信を設定する

監査ログ配信を構成するには、GCS バケットを設定し、Databricks にバケットへのアクセス権を付与してから、 アカウント コンソール を使用して、ログの配信先を Databricks に指示する ログ配信構成 を定義する必要があります。

作成後にログ配信設定を編集することはできませんが、アカウントコンソールを使用してログ配信設定を一時的または永続的に無効にすることはできます。 現在有効にできる監査ログ配信構成は、最大 2 つまでです。

Google クラウドコンソールまたは Google CLI を使用して、GCP アカウントに Google クラウド Storage バケットを作成できます。 次の手順は、Google クラウド コンソールを使用することを前提としています。

GCS バケットの作成と設定

  1. Google クラウドコンソールを使用して、GCP アカウントに Google クラウド Storage バケットを作成します。

    • [リージョン] で [ マルチリージョン] を選択します。

    • [storage class (ストレージクラス)] で、一般的な使用方法として [Standard (標準 )] を選択します。 ストレージクラスについては、Googleの記事を参照してください。

    • コントロール アクセスの場合は、[ 均一] を選択します。

  2. 新しいバケットの [Permissions ] タブをクリックします。

  3. ADD」をクリックし、ストレージ・バケットのNew memberとしてサービス・アカウント・log-delivery@databricks-prod-master.iam.gserviceaccount.comを入力します。アクセス条件を指定せずに、サービスアカウントに Cloud StorageStorage Adminロールを付与します。

    これは、Databricks がこのバケットに配信されたログ ファイルを書き込んで一覧表示するために必要です。 バケットのサブディレクトリのみにアクセス許可を付与することはできません。 アクセスコントロールに関する Google の記事では、きめ細かなアクセス権限のために複数のバケットを作成することを推奨しています。

    ログ配信バケットのアクセス許可

ログ配信構成を作成する

ログ配信構成では、Databricks で監査ログを配信する GCS バケットの場所へのパスを定義します。

  1. アカウント管理者として、Databricks アカウント コンソールにログインします。

  2. 設定」をクリックします。

  3. [ 配信ログ] をクリックします。

    ログ配信構成

  4. [ ログ配信の追加] をクリックします。

  5. [ ログ配信構成名] に、Databricks アカウント内で一意の名前を追加します。 スペースを使用できます。

  6. [GCS バケット名] に、 GCS バケット名を指定します。

  7. [ 配信パスのプレフィックス] で、必要に応じて、パスで使用するプレフィックスを指定します。 「 場所」を参照してください。

    プレフィックスにはスラッシュを含めることができますが、スラッシュで始めることはできません。 それ以外の場合、接頭辞には有効な GCS オブジェクトパス文字を含めることができます。 スペース文字は使用できないことに注意してください。

  8. [ ログ配信の追加] をクリックします。

ログ配信構成を無効または有効にする

作成後にログ配信設定を編集または削除することはできませんが、アカウントコンソールを使用してログ配信設定を一時的または永続的に無効にすることはできます。 一度に最大 2 つの監査ログ配信設定を有効にすることができます。

ログ配信構成を無効にするには、次のようにします。

  1. アカウント管理者として、Databricks アカウント コンソールにログインします。

  2. 設定」をクリックします。

  3. [ 配信ログ] をクリックします。

  4. 無効にするログ配信構成の横にある、名前の右側にある 3 つのドットのアイコンをクリックします。

    • 無効にするには、 [ログ配信を無効にする] を選択します。

    • 有効にするには、 [ ログ配信を有効にする] を選択します。

潜在

  • ログ配信の構成から最大 1 時間後、監査配信が開始され、JSON ファイルにアクセスできます。

  • 監査ログの配信が開始されると、通常、監査可能なイベントは 1 時間以内にログに記録されます。 新しい JSON ファイルによって、各ワークスペースの既存のファイルが上書きされる可能性があります。 上書きにより、アカウントへの読み取りまたは削除アクセスを必要とせずに、正確に 1 回限りのセマンティクスが保証されます。

  • ログ配信構成の有効化または無効化は、有効になるまでに最大で 1 時間かかる場合があります。

場所

配送場所は次のとおりです。

gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json

オプションの配信パスプレフィックスを省略すると、配信パスには <delivery-path-prefix>/が含まれません。

1 つのワークスペースに関連付けられていないアカウントレベルの監査イベントは、 workspaceId=0 パーティションに配信されます。

Databricks を使用した監査ログの分析の詳細については、 「監査ログ システムテーブル リファレンス」を参照してください。