配置審計日誌交付

本文將解釋如何配置低延遲交付的JSON文件格式的審計日誌Amazon S3存儲桶。

當你的審計日誌被送到一個S3存儲桶,你可以使用可用的數據分析。磚為每個工作空間提供一個單獨的JSON文件在您的帳戶和一個單獨的文件戶頭級別的事件。有關文件的信息模式和審計事件,看看審計日誌引用

你可以提供日誌一個AWS帳戶以外的其他帳戶用於創建日誌交付我的角色。這允許靈活性,例如從多個AWS帳戶設置工作區提供同樣的S3 bucket。這個選項需要配置一個S3 bucket政策,引用一個cross-account我的角色。指令和政策還為您提供了模板步驟3:cross-account支持

除了交付運行工作空間的日誌,日誌是為交付取消工作空間確保日誌正常交付代表工作的最後一天。

需求

配置審計日誌,你必須:

  • 是一個賬戶管理與電子郵件地址和密碼進行身份驗證api。電子郵件地址和密碼都是區分大小寫的。

  • 驗證API你可以設置交付與帳戶API。看到API如何驗證帳戶

高級流

本節描述高級審計日誌流交付。

  • 步驟1:配置存儲:在AWS,創建一個新的S3 bucket。使用磚API, API調用帳戶創建一個存儲配置對象,使用bucket名稱。

  • 步驟2:配置憑證:在AWS,創建合適的AWS我的角色。使用磚API, API調用帳戶創建一個憑證配置對象,使用我的角色的攻擊。

  • (可選)步驟3:cross-account支持:提供日誌的AWS帳戶以外的帳戶我的角色創建日誌交付時,添加一個S3 bucket的政策。這個策略引用id cross-account我您在前麵步驟中創建的角色。

  • 第四步:調用日誌API:調用API來創建一個日誌傳送配置,使用憑證和存儲配置對象從以前的步驟。

在完成這些步驟之後,您可以訪問JSON文件。交貨地點是在以下格式:

<- - - - - -的名字> / <交付- - - - - -路徑- - - - - -前綴> /workspaceId= <workspaceId> /日期= <yyyy- - - - - -毫米- - - - - -dd> /auditlogs_<內部- - - - - -id>。json

請注意

如果您配置的審計日誌交付整個帳戶,帳戶級別審計事件不與任何一個工作區送達有關workspaceId = 0分區。

考慮基於你的工作區

交付配置可能取決於你有多少工作區和定位:

  • 如果你有一個工作空間在你的磚賬戶:按照說明,高層流中為您的工作區中創建一個配置對象。

  • 如果您有多個工作區在同一個磚帳戶:做下列之一:

    • 共享相同的配置(日誌交付S3 bucket和我角色)所有工作區帳戶。這是唯一的配置選項,還提供帳戶級別審計日誌。這是默認選項。

    • 使用單獨的帳戶配置為每個工作區。

    • 使用單獨的配置不同組的工作空間,每個共享配置。

  • 如果你有多個工作區,每個關聯到一個單獨的磚帳戶:為每個帳戶創建獨特的存儲和證書配置對象。你可以重用一個S3 bucket或我這些配置對象之間的作用。

請注意

您可以配置日誌交付與帳戶API即使工作區不使用帳戶創建的API。

API如何驗證帳戶

預覽

OAuth是公共預覽

驗證賬戶API,您可以使用磚OAuth的服務主體,磚OAuth用戶,或磚賬戶管理員的用戶名和密碼。磚強烈建議您使用磚OAuth用戶或服務主體。創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。創建一個OAuth令牌,看到的使用OAuth身份驗證服務主體

用下麵的例子來驗證一個磚帳戶。您可以使用OAuth為服務主體,OAuth用戶或用戶的用戶名和密碼。背景,請參閱:

用於身份驗證的例子,從以下選擇:

  1. 磚安裝CLI版本0.200或更高版本。看到安裝CLI

  2. 完整的步驟配置OAuth M2M身份驗證服務主體的帳戶。看到OAuth機器對機器(M2M)身份驗證

  3. 識別或手動創建一個磚配置概要文件中.databrickscfg文件,配置文件的相關字段正確設置主機,account_id,client_idclient_secret映射到服務主體。看到OAuth機器對機器(M2M)身份驗證

  4. 運行你的目標數據磚CLI命令,<配置文件名稱>代表你的配置概要文件的名稱.databrickscfg文件:

    磚賬戶<命令名> < subcommand-name > - p <配置文件名稱>

    例如,列出所有用戶帳戶:

    - p MY-AWS-ACCOUNT磚帳戶的用戶列表
    • 可用帳戶列表命令,運行命令賬戶- h

    • 為一個賬戶可用子命令列表命令,運行命令賬戶<命令名>- h

  1. 磚安裝CLI版本0.200或更高版本。看到安裝CLI

  2. 完成的步驟配置OAuth U2M身份驗證的用戶帳戶。看到OAuth user-to-machine (U2M)身份驗證

  3. 啟動用戶身份驗證過程通過運行以下磚CLI命令:

    磚身份驗證登錄主機< account-console-url >——帳戶id <帳戶id >

    例如:

    磚身份驗證登錄——主機https://accounts.cloud.m.eheci.com帳戶id000000000000-0000-0000-000000000000
  4. 按照屏幕上的指令有磚CLI自動創建相關的磚配置概要文件在你的.databrickscfg文件。

  5. 繼續按照屏幕上的指令進行操作,登錄到你的磚賬戶通過web瀏覽器。

  6. 運行你的目標數據磚CLI命令,<配置文件名稱>代表你的配置概要文件的名稱.databrickscfg文件:

    磚賬戶<命令名> < subcommand-name > - p <配置文件名稱>

    例如,列出所有用戶帳戶:

    磚帳戶的用戶列表- p - 00000000 - 0000 - 0000 - 0000 - 000000000000
    • 可用帳戶列表命令,運行命令賬戶- h

    • 為一個賬戶可用子命令列表命令,運行命令賬戶<命令名>- h

  1. 磚安裝CLI版本0.200或更高版本。看到安裝CLI

  2. 識別或手動創建一個磚配置概要文件中.databrickscfg文件,配置文件的相關字段正確設置主機,account_id,用戶名密碼映射到你的磚用戶帳戶。看到基本身份驗證

  3. 運行你的目標數據磚CLI命令,<配置文件名稱>代表你的配置概要文件的名稱.databrickscfg文件:

    磚賬戶<命令名> < subcommand-name > - p <配置文件名稱>

    例如,列出所有用戶帳戶:

    - p MY-AWS-ACCOUNT磚帳戶的用戶列表
    • 可用帳戶列表命令,運行命令賬戶- h

    • 為一個賬戶可用子命令列表命令,運行命令賬戶<命令名>- h

審計提供細節

日誌為你的賬戶啟用後,磚自動發送審計日誌以人類可讀的格式定期交付地點。

  • 延遲:在初始設置或其他配置更改,之前預計一些延遲您的更改生效。審計日誌交付的初始設置,它需要一個小時日誌開始交付。日誌後開始交貨,可審計的事件通常在15分鍾內記錄。額外的配置更改生效一般需要一個小時。

  • 加密:磚使用Amazon S3服務器端加密加密審計日誌。

  • 格式:磚提供JSON格式的審計日誌。

  • 位置:交貨地點< bucket名> / < delivery-path-prefix > / workspaceId = < workspaceId > /日期= < yyyy-mm-dd > / auditlogs_ <內部id > . json。新的JSON文件交付每隔幾分鍾,可能會覆蓋現有的文件。配送路徑定義為配置的一部分。帳戶級別審計事件不與任何一個工作區送達有關workspaceId = 0分區,如果你配置交付整個賬戶的審計日誌。

    • 磚可以覆蓋了日誌文件在你的桶在任何時間。如果一個文件被覆蓋,保持現有的內容,但可能有額外的線路可審計的事件。

    • 覆蓋確保隻有一次語義不需要讀取或刪除訪問您的帳戶。

使用日誌api

日誌api交付有以下附加功能:

日誌傳送配置狀態可以在API中找到響應的log_delivery_status對象。與log_delivery_status,您可以檢查狀態(成功或失敗)和最後一次嚐試和成功交付。

審計日誌交付的局限性

有一個限製可用日誌配置交付的數量每個賬戶(每個限製分別適用於每個日誌類型包括計費使用和審計日誌)。您可以創建最多兩個戶頭級別啟用交付配置每個類型(沒有工作區配置過濾器)。此外,您可以創建並啟用兩個工作區水平交付每工作區配置每個日誌類型,這意味著相同的工作區ID可以出現在工作區中過濾不超過兩個交付配置每個日誌類型。

你不能刪除日誌傳送配置,但是你可以禁用它。你可以重新啟用禁用配置,但請求失敗,如果違反了先前描述的限製。

啟用詳細審計日誌

除了默認的事件,您可以配置一個工作區產生額外的事件通過啟用詳細審計日誌

啟用或禁用詳細審計日誌,做到以下幾點:

  1. 工作區管理,去磚管理員設置頁麵

  2. 點擊工作空間設置

  3. 旁邊詳細審計日誌啟用或禁用該功能。

當您啟用或禁用詳細日誌記錄,一個可審計的事件類別工作空間用行動workspaceConfKeys。的workspaceConfKeys請求參數是enableVerboseAuditLogs。請求參數workspaceConfValues真正的(功能啟用)或(功能禁用)。

額外的詳細審計日誌

當您配置詳細審計日誌,日誌包括以下額外的事件:

服務

動作名稱

描述

請求參數

筆記本

runCommand

發出後一個交互式用戶運行一個命令在一個筆記本上。一個命令對應於一個細胞一個筆記本。

  • notebookId

  • executionTime

  • 狀態

  • commandId

  • commandText

databrickssql

commandSubmit

提交一個命令時磚SQL運行。

  • commandText

  • warehouseId

  • commandId

databrickssql

commandFinish

運行一個命令完成後或命令取消了。

  • warehouseId

  • commandId

檢查響應領域相關的附加信息的命令結果:

  • statusCodeHTTP響應代碼。這將是錯誤400,如果是一般的錯誤。

  • errorMessage——錯誤消息。

    請注意

    在某些情況下對某些長期運行的命令,errorMessage字段可能不會失敗。

  • 結果:這個字段是空的