Configurar o fornecimento de registros de auditoria
Observação
Esse recurso requer o plano Premium.
Este artigo descreve como configurar o fornecimento de auditoria logs.
Databricks fornece acesso à auditoria logs das atividades realizadas pelos usuários do Databricks, permitindo que sua empresa monitore os padrões detalhados de uso do Databricks. Para obter detalhes sobre eventos de registros, consulte Referência do Audit log .
Como proprietário do Databricks account ou administrador do account, o senhor pode configurar a entrega do log de auditoria no formato de arquivo JSON para um bucket de armazenamento Google Cloud Storage (GCS), onde pode disponibilizar os dados para análise de uso. Databricks entrega um arquivo JSON separado para cada workspace em seu account e um arquivo separado para eventos de nível account.
Configurar o fornecimento de registros de auditoria
Para configurar a entrega de auditoria log, é necessário configurar um bucket GCS, conceder acesso ao bucket a Databricks e, em seguida, usar o consoleaccount para definir uma configuração de entregalog que informe a Databricks onde entregar seu logs.
Não é possível editar uma configuração de entrega log após a criação, mas o senhor pode desativar temporária ou permanentemente uma configuração de entrega log usando o console account. O senhor pode ter no máximo duas configurações de fornecimento de log de auditoria ativadas no momento.
O senhor pode usar o Google cloud Console ou o Google CLI para criar um bucket Google Cloud Storage em seu GCP account. As instruções a seguir pressupõem que o senhor usará o Google cloud Console.
Criar e configurar seu bucket GCS
Use o Google cloud Console para criar um bucket Google Cloud Storage em seu GCP account.
Para região, escolha multi-região.
Para a classe de armazenamento, escolha Standard para uso típico. Veja os artigos do Google para aulas de armazenamento.
Para controle de acesso, escolha Uniform.
Clique em Permissions (Permissões ) tab em seu novo bucket.
Clique em ADD e, em seguida, insira o serviço account
log-delivery@databricks-prod-master.iam.gserviceaccount.com
comoNew member
do bucket de armazenamento. Conceder ao serviço account a funçãoStorage Admin
emCloud Storage
, sem especificar uma condição de acesso.Isso é necessário para que o site Databricks escreva e liste os arquivos log entregues para esse bucket. O senhor não pode conceder permissão apenas a um subdiretório do bucket. Consulte os artigos do Google sobre controle de acesso, que recomendam que o senhor crie vários buckets para obter permissões de acesso granular.
Criar uma configuração de entrega de registros
Uma configuração de entrega de log define o caminho para o local do bucket do GCS em que o senhor deseja que o Databricks entregue seus logs de auditoria.
account log in Como Databricks account administrador do , acesse o console .
Clique em Settings.
Clique em log delivery.
Clique em Add log delivery.
Em log delivery configuration name (nome da configuração de entrega), adicione um nome que seja exclusivo em seu site Databricks account. Os espaços são permitidos.
Em GCS bucket name, especifique o nome do seu bucket GCS.
Em Delivery path prefix (Prefixo do caminho de entrega), especifique opcionalmente um prefixo a ser usado no caminho. Ver localização.
O prefixo pode incluir caracteres de barra, mas não pode começar com uma barra. Caso contrário, o prefixo pode incluir qualquer caractere válido do caminho do objeto GCS. Observe que os caracteres de espaço não são permitidos.
Clique em Add log delivery.
Desativar ou ativar uma configuração de fornecimento de registros
Não é possível editar ou excluir uma configuração de entrega log após a criação, mas o senhor pode desativar temporária ou permanentemente uma configuração de entrega log usando o console account. O senhor pode ter no máximo duas configurações de fornecimento de log de auditoria ativadas por vez.
Para desativar uma configuração de entrega log:
account log in Como Databricks account administrador do , acesse o console .
Clique em Settings.
Clique em log delivery.
Ao lado da configuração de fornecimento de log que deseja desativar, clique no menu kebab à direita do nome.
Para desativá-lo, selecione Disable log delivery.
Para ativá-lo, selecione Enable log delivery.
Latência
Até uma hora após a configuração do fornecimento de log, o fornecimento de auditoria começa e o senhor pode acessar os arquivos JSON.
Após o início da entrega da auditoria log, os eventos auditáveis são normalmente registrados em uma hora. Os novos arquivos JSON podem substituir os arquivos existentes para cada workspace. A substituição garante a semântica exactly-once sem exigir acesso de leitura ou exclusão ao seu site account.
A ativação ou desativação de uma configuração de entrega log pode levar até uma hora para entrar em vigor.
Localização
O local de entrega é:
gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json
Se o prefixo opcional do caminho de entrega for omitido, o caminho de entrega não incluirá <delivery-path-prefix>/
.
accountOs eventos de auditoria de nível que não estão associados a um único workspace são entregues à partição workspaceId=0
.
Para obter mais informações sobre a análise da auditoria logs usando Databricks, consulte Referência da tabela do sistema Audit log .