配置审计日志传递

请注意

此功能需要Databricks高级计划

Databricks提供了对Databricks用户执行的活动的审计日志的访问,允许您的企业监视详细的Databricks使用模式。有关日志事件、日志模式、传递延迟和确切的传递路径语法的详细信息,请参见访问审计日志

要配置审计日志的下发,必须先设置一个GCS桶,让Databricks访问该桶,然后使用账户控制台定义日志下发配置.每个日志传递配置都包含一个可选的传递路径前缀,用于定义日志的位置。

创建后不能编辑或删除日志传递配置,但可以使用帐户控制台临时或永久禁用日志传递配置。您最多可以有两个当前启用的审计日志传递配置。

您可以使用谷歌云控制台或谷歌CLI在您的GCP帐户中创建谷歌云存储桶。下面的说明假设您将使用谷歌云控制台。

设置审计日志传递

配置审计日志下发,需要在“Databricks”中设置GCS桶并定义日志下发配置。

创建并配置GCS桶

  1. 使用谷歌云控制台在您的GCP帐户中创建谷歌云存储桶。

    • 对于区域,请选择多区

    • 对于存储类,请选择标准对于典型用法。请参阅谷歌文章存储类

    • 对于控制访问,请选择统一的

  2. 单击权限标签在你的新桶上。

  3. 单击“**ADD*”,输入“服务帐户”log-delivery@databricks-prod-master.iam.gserviceaccount.com作为成员存储桶的。授予服务帐户存储管理的作用下存储,而没有指定进入条件。

    这是Databricks为这个桶写入和列出已交付日志文件所必需的。不能只对桶子目录赋予权限。参见谷歌文章访问控制,建议您为细粒度的访问权限创建多个桶。

    日志下发桶权限

创建日志传递配置

日志传递配置定义了您希望Databricks将审计日志传递到GCS桶位置的路径。

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击设置

  3. 点击日志交付

    日志传递配置

  4. 点击添加日志传递

  5. 日志下发配置名称,在Databricks帐户中添加唯一的名称。允许使用空格。

  6. GCS桶名,指定你的GCS桶名。

  7. 交付路径前缀,可选地指定要在路径中使用的前缀。看到位置

    前缀可以包含斜杠,但不能以斜杠开头。否则,前缀可以包括任何有效的GCS对象路径字符。注意,空格字符是不允许的。

  8. 点击添加日志传递

禁用或启用日志下发配置

创建后不能编辑或删除日志传递配置,但可以使用帐户控制台临时或永久禁用日志传递配置。一次最多可以启用两个审计日志传递配置。

禁用日志下发配置。

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击设置

  3. 点击日志交付

  4. 在要禁用的日志传递配置旁边,单击名称右侧的三个圆点图标。

    • 若要禁用,请选择禁用日志传递

    • 若要启用,请选择启用日志传递