审核 Unity Catalog 事件

本文包含 Unity Catalog 事件的审核日志信息。 Unity Catalog 捕获对元存储执行的操作的审核日志。 这使管理员能够访问有关谁访问了给定数据集以及他们执行的操作的详细信息。

配置诊断日志

若要访问 Unity Catalog 事件的诊断日志,必须为帐户中的每个工作区启用并配置诊断日志

重要

Azure Databricks 不会记录仅在帐户级别发生的 Unity Catalog 事件。 仅记录与工作区关联的事件。

创建可查询的已记录 Unity Catalog 事件的表:

  1. 创建或重复使用事件中心命名空间。

    此命名空间必须与 Azure Databricks 工作区位于同一区域。

    请参阅快速入门:使用 Azure 门户创建事件中心

  2. 在命名空间中创建事件中心。

  3. 复制事件中心的连接字符串。

    请参阅获取事件中心连接字符串

    该策略只需要“侦听”权限。 连接字符串应以 Endpoint=sb:// 开头。

  4. 将连接字符串作为机密存储在 Azure Databricks 工作区中

    请参阅机密

  5. 为你要在其中处理诊断日志的工作区启用诊断日志。

    请查看诊断日志参考

    选择以下选项:

    • 目标:流式传输到事件中心
    • 在步骤 1 和 2 中创建的事件中心命名空间和事件中心。
    • 日志类别:unityCatalog
  6. 创建一个使用“单用户”访问模式的群集。

    请参阅访问模式

  7. 将以下示例笔记本导入工作区并将其附加到刚刚创建的群集。

    请参阅导出和导入 Databricks 笔记本

    Unity Catalog 事件的审核日志报告

    获取笔记本

  8. 填写第二个笔记本单元格中的字段:

    • <catalog>:要存储审核表的目录(目录必须已经存在)。 确保你对它拥有 USE CATALOGCREATE 权限。
    • <database>:用于存储审核表的数据库(架构)(如果不存在,则创建一个)。 如果它已存在,请确保你对它拥有 USE SCHEMACREATE 权限。
    • <eh-ns-name>:包含事件中心的事件中心命名空间的名称
    • <eh-topic-name>:事件中心的名称(主题)
    • <secret-scope-name>:包含事件中心连接字符串的机密的机密范围的名称
    • <secret-name>:包含事件中心连接字符串的机密的名称
    • <sink-path>:Spark 检查点的 DBFS 路径,例如 /tmp/unity-audit-logs
  9. 运行笔记本以创建审核日志记录表。

Unity Catalog 审核日志事件

有关 Unity Catalog 中可审核事件的列表,请参阅 Unity Catalog 事件