审计Unity Catalog事件

本文包含Unity Catalog事件的审计日志信息。Unity Catalog捕获针对metastore执行的操作的审计日志。这使管理员能够访问有关谁访问了给定数据集以及他们执行了哪些操作的细粒度详细信息。

配置审计日志

要访问Unity Catalog事件的审计日志,必须开启并配置审计日志为你着想。

重要的

在帐户级别记录Unity Catalog活动。不输入值workspace_ids_filter

每个工作空间和帐户级别活动的审计日志将被传递到您的帐户。日志下发到您配置的S3桶中。

审计日志格式

在Databricks中,审计日志以JSON格式输出事件。下面以a为例createMetastoreAssignment事件。

“版本”“2.0”“auditLevel”“ACCOUNT_LEVEL”“时间戳”1629775584891“orgId”“3049056262456431186970”“shardName”“test-shard”“accountId”“77636 e6d ac57 - 484 f - 9302 f7922285b9a5”“sourceIPAddress”“10.2.91.100”“userAgent”“旋度/ 7.64.1”“sessionId”“短暂的- f836a03a d360 - 4792 - b081 baba525324312”“userIdentity”:{“电子邮件”“crampton.rods.com”“subjectName”},“名”“unityCatalog”“actionName”“createMetastoreAssignment”“requestId”“ServiceMain-da7fa5878f40002”“requestParams”:{“workspace_id”“30490590956351435170”“metastore_id”这件“abc123456 - 8398 - 4 - 25 - 91 - bb - b000b08739c7”“default_catalog_name”“主要”},“响应”:{“statusCode”200“errorMessage”“结果”},“MAX_LOG_MESSAGE_LENGTH”16384

审计日志分析示例

以下步骤和笔记本创建一个仪表板,可用于分析帐户的审计日志数据。

  1. 创建数据科学与工程集群单用户集群安全模式.看到创建一个可以访问Unity Catalog的集群

  2. 将下面的示例笔记本导入您的工作区,并将其附加到刚才创建的集群。看到导入笔记本电脑

    审计日志分析记录本

    在新标签页打开笔记本

  3. 一系列小部件出现在页面顶部。为输入值检查点并可选地为其余字段输入值。

    • 检查点:流检查点存储的路径,可以是DBFS,也可以是S3。

    • 目录:希望存储审计表的目录的名称(目录必须已经存在)。确保你有使用而且创建它的特权。

    • 数据库:希望存储审计表的数据库(模式)的名称(如果不存在,将创建)。如果它已经存在,请确保您已经拥有使用而且创建它的特权。

    • log_bucket:审计日志所在的S3位置。这应该是以下格式:

      <-的名字>/<交付-路径-前缀>/workspaceId0/

      有关配置审计日志的信息,请参见配置审计日志记录.附加workspaceId = 0到路径以获取帐户级别的审计日志,包括Unity Catalog事件。

    • start_date:按开始日期过滤事件。

      < bucket名>而且< delivery-path >从笔记本小部件自动填充。

  4. 运行笔记本,创建审计报告。

  5. 要修改报告或返回给定用户的活动,请参阅笔记本中的命令23和24。

Unity Catalog审计日志事件

下表包含了Unity Catalog中的可审计事件。的actionName属性在审计日志记录中标识审计事件。动作的请求参数列在下面requestParams

actionName

requestParams

createMetastore

(“名字”,“storage_root”)

getMetastore

[" id "]

getMetastoreSummary

listMetastores

updateMetastores

[" id ", " name ", " storage_root ", " default_data_access_config_id ", " delta_sharing_enabled ", " owner "]

deleteMetastore

[" id ",“力量”)

createMetastore

[" workspace_id ", " metastore_id ", " default_catalog_name "]

updateMetastoreAssignment

[" workspace_id ", " metastore_id ", " default_catalog_name "]

createExternalLocation

getExternalLocation

listExternalLocations

updateExternalLocation

deleteExternalLocation

createCatalog

["名称")

deleteCatalog

[" name_arg "]

getCatalog

[" name_arg "]

updateCatalog

[" name_arg ", " name ", " owner ", " comment "]

listCatalog

createSchema

(“名字”,“catalog_name”)

deleteSchema

[" full_name_arg "]

getSchema

[" full_name_arg "]

listSchema

[" catalog_name "]

updateSchema

[" full_name_arg ", " name ", " owner ", " comment "]

createStagingTable

[" name ", " catalog_name ", " schema_name "]

不知道

[" name ", " catalog_name ", " schema_name ", " table_type ", " data_source_format ", " column_infos ", " storage_location ", " sql_path ", " view_definition ", " comment "]

deleteTable

[" full_name_arg "]

可以获得的

[" full_name_arg "]

privilegedGetTable

[" full_name_arg "]

listTables

[" catalog_name”、“schema_name”)

listTablesSummaries

updateTables

[" name ", " table_type ", " data_source_format ", " column_infos ", " storage_location ", " sql_path ", " view_definition ", " owner ", " comment "]

createStorageCredentials

listStorageCredentials

getStorageCredentials

updateStorageCredentials

deleteStorageCredentials

createCredentials

[" data_access_configuration_id ", " table_id ", " operation "]

generateTemporaryTableCredential

generateTemporaryPathCredential

getPermissions

[" securable_type ", " securable_full_name ", " principal "]

updatePermissions

[" securable_type ", " securable_full_name ", " changes "]

createRecipient

(“名字”、“评论”)

deleteRecipient

["名称")

getRecipient

["名称")

listRecipient

createShare

(“名字”、“评论”)

deleteShare

["名称")

getShare

["名称")

updateShare

(“名字”,“更新”)

listShares

getSharesPermissions

["名称")

updateSharePermissions

(“名字”,“变化”)

getRecipientSharePermissions

["名称")

createProvider

updateProvider

deleteProvider

getProvider

listProvider

listProviderShares

rotateRecipientToken

privilagedGetAllPermissions

(“可获得的”)

getActivationUrInfo

[" recipient_name "]

retrieveRecipientToken

[" recipient_name "]

metadataSnapshot

metadataAndPermissionsSnapshot

getInformationSchema