Configurar entrega logs de auditoria

Observação

Este recurso requer o plano Premium.

Este artigo descreve como configurar a entrega de logs de auditoria.

O Databricks fornece acesso a logs de auditoria de atividades realizadas por usuários do Databricks, permitindo que sua empresa monitore padrões detalhados de uso do Databricks. Para obter detalhes sobre eventos registrados, consulte Referência do log de auditoria.

Como proprietário ou administrador account account Databricks, você pode configurar a entrega do log in formato de arquivo JSON para um bucket de armazenamento do Google Cloud Storage (GCS), onde você pode disponibilizar os dados para análise de uso. O Databricks fornece um arquivo JSON separado para cada espaço de trabalho da sua account e um arquivo separado para eventos no nível account .

Configurar a entrega logs de auditoria

Para configurar a entrega de logs de auditoria, você deve configurar um bucket do GCS, conceder acesso ao databricks ao bucket e, em seguida, usar o console da conta para definir uma configuração de entrega de log que informe ao Databricks onde entregar seus logs.

Você não pode editar uma configuração de entrega logs após a criação, mas pode desabilitar temporária ou permanentemente uma configuração de entrega de logs usando o console account . Você pode ter no máximo duas configurações de entrega logs de auditoria habilitadas no momento.

Você pode usar o Google clouds Console ou o Google CLI para criar um bucket do Google clouds Storage em sua account do GCP. As instruções a seguir pressupõem que você usará o console do Google clouds .

Crie e configure seu intervalo do GCS

  1. Use o console do Google clouds para criar um bucket do Google clouds Storage na sua account do GCP.

    • Para região, escolha multirregião.

    • Para classe de armazenamento, escolha Padrão para uso típico. Consulte os artigos do Google para classes de armazenamento.

    • Para controlar o acesso, escolha Uniform.

  2. Clique na Permissões tab em seu novo bucket.

  3. Clique em ADICIONAR e insira a account de serviço log-delivery@databricks-prod-master.iam.gserviceaccount.com como New member do bucket de armazenamento. Conceda à account de serviço a função Storage Admin em Cloud Storage, sem especificar uma condição de acesso.

    Isto é necessário para que o Databricks escreva e liste os ficheiros logs entregues para este balde. Você não pode conceder permissão apenas a um subdiretório de bucket. Consulte os artigos do Google sobre controle de acesso, que recomendam a criação de vários buckets para permissões de acesso granulares.

    permissão de intervalo de entrega logs

Criar uma configuração de entrega logs

Uma configuração de entrega de log define o caminho para o local do bucket do GCS onde você deseja que o Databricks entregue seus logs de auditoria.

  1. Como administrador de conta, log in no console da conta do Databricks.

  2. Clique em Configurações.

  3. Clique em entregalogs .

    configuração de entrega logs

  4. Clique em Adicionar entrega logs .

  5. Em nome da configuração de entregalogs , adicione um nome exclusivo em sua account do Databricks. Espaços são permitidos.

  6. Em Nome do intervalo do GCS, especifique o nome do intervalo do GCS.

  7. Em Prefixo do caminho de entrega, especifique opcionalmente um prefixo a ser usado no caminho. Consulte Localização.

    O prefixo pode incluir caracteres de barra, mas não pode começar com uma barra. Caso contrário, o prefixo poderá incluir quaisquer caracteres válidos do caminho do objeto GCS. Observe que caracteres de espaço não são permitidos.

  8. Clique em Adicionar entrega logs .

Desabilitar ou habilitar uma configuração de entrega logs

Você não pode editar ou excluir uma configuração de entrega de logs após a criação, mas pode desabilitar temporária ou permanentemente uma configuração de entrega logs usando o console account . Você pode ter no máximo duas configurações de entrega logs de auditoria habilitadas por vez.

Para desabilitar uma configuração de entrega logs :

  1. Como administrador de conta, log in no console da conta do Databricks.

  2. Clique em Configurações.

  3. Clique em entregalogs .

  4. Ao lado da configuração de entrega logs que você deseja desativar, clique no ícone de três pontos à direita do nome.

    • Para desativá-lo, selecione Desativar entrega logs .

    • Para habilitá-lo, selecione Habilitar entrega logs .

Latência

  • Até uma hora após a configuração da entrega logs , a entrega da auditoria começa e você pode acessar os arquivos JSON.

  • Após o início da entrega logs de auditoria, os eventos auditáveis normalmente são logs dentro de uma hora. Novos arquivos JSON podem substituir os arquivos existentes para cada workspace. A substituição garante a semântica exatamente uma vez, sem exigir acesso de leitura ou exclusão à sua account.

  • A ativação ou desativação de uma configuração de entrega logs pode levar até uma hora para entrar em vigor.

Localização

O local de entrega é:

gs://<bucket-name>/<delivery-path-prefix>/workspaceId=<workspaceId>/date=<yyyy-mm-dd>/auditlogs_<internal-id>.json

Se o prefixo do caminho de entrega opcional for omitido, o caminho de entrega não incluirá <delivery-path-prefix>/.

Os eventos de auditoria no nível accountque não estão associados a nenhum workspace único são entregues à partição workspaceId=0.

Para obter mais informações sobre a análise de logs de auditoria usando o Databricks, consulte Referência da tabela do sistema de logs de auditoria.