> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/databricks.md). # Databricks 감사 로그 ## 개요 Databricks는 Apache Spark 기반의 통합 분석 플랫폼입니다. 감사 로그는 사용자 작업, API 호출, 관리 변경 사항을 포함한 계정 및 작업 영역 활동을 캡처합니다. Panther는 수집할 수 있습니다 [Databricks 감사 로그](https://docs.databricks.com/aws/en/admin/account-settings/audit-log-delivery) S3 버킷으로 전달됩니다. 이러한 로그는 보안 모니터링 및 규정 준수를 위해 관리 작업, 사용자 인증 패턴, 데이터 액세스, 노트북 실행에 대한 포괄적인 가시성을 제공합니다. ## Databricks 감사 로그를 Panther에 온보딩하는 방법 ### 사전 요구 사항 * 감사 로그 전달이 구성된 Databricks 계정 * Databricks 감사 로그 전달에는 Databricks Premium 또는 Enterprise 요금제가 필요합니다 * Databricks 감사 로그를 전달할 수 있는 AWS S3 버킷 * Databricks 감사 로그 전달을 구성할 수 있는 관리자 권한 ### 1단계: Databricks 감사 로그를 S3로 전달하도록 구성 1. Databricks 계정 콘솔에 로그인합니다. 2. 다음으로 이동: **설정** > **계정 설정** > **감사 로그 전달**. 3. 다음을 클릭합니다: **로그 전달 생성**. 4. S3 대상 구성: * **대상**: 다음을 선택합니다: **Amazon S3**. * **S3 버킷**: S3 버킷 이름을 입력하세요(예: `my-databricks-audit-logs`). * **S3 접두사**: (선택 사항) 로그를 정리하기 위한 접두사를 입력하세요(예: `databricks/audit/`). * **Region**: S3 버킷이 위치한 AWS 리전을 선택하세요. 5. 전달 설정 구성: * **로그 유형**: 다음을 선택합니다: **Audit Logs**. * **전달 경로 패턴**: Databricks는 다음 패턴을 사용합니다: `workspaceId=/date=/auditlogs_.json`. 6. 다음을 클릭합니다: **만들기** 감사 로그 전달을 사용하도록 설정합니다. Databricks는 몇 시간 내에 지정한 S3 버킷으로 감사 로그 전달을 시작합니다. ### 2단계: Panther에서 새 S3 소스 생성 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. "Databricks"를 검색한 다음 타일을 클릭합니다. 4. 오른쪽 상단에서 다음을 클릭합니다: **설정 시작**. 5. 다음에서 **구성** 페이지에서 다음 필드를 입력합니다: * **이름**: 소스에 대한 설명적인 이름을 입력합니다. 예: `Databricks 감사 로그`. * **AWS 계정 ID**: S3 버킷이 위치한 AWS 계정 ID를 입력하세요. * **버킷 이름**: S3 버킷 이름을 입력하세요. * **KMS 키 ARN**: (선택 사항) S3 버킷에 KMS 암호화를 사용하는 경우 KMS 키 ARN을 입력하세요. * **S3 접두사 필터**: (선택 사항) 1단계에서 접두사를 지정한 경우, Panther가 처리하는 오브젝트를 제한하기 위해 여기에 입력하세요. 6. 다음을 클릭합니다: **설정**. 7. 다음에서 **인프라** 페이지에서 Panther가 S3 버킷에서 읽을 수 있도록 필요한 AWS 인프라를 설정하는 방법에 대한 지침을 볼 수 있습니다. 다음 지침을 따라: * Panther가 맡을 IAM 역할을 생성합니다 * 이 역할에 S3 버킷에서 읽을 수 있는 권한을 부여합니다 * 새 감사 로그가 도착하면 Panther에 알리도록 S3 이벤트 알림을 구성합니다 8. 다음을 클릭합니다: **설정**. 9. 성공 화면으로 이동합니다:
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되기 때문입니다. 이 시간은 구성 가능하며 기본값은 24시간입니다.
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther가 관리하는 탐지 참조 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) 에서 Databricks용 규칙 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/rules/databricks_rules). ## 지원되는 로그 유형 ### Databricks.Audit Databricks 감사 로그는 사용자 작업, API 호출 및 관리 변경 사항을 포함한 계정 및 작업 영역 활동을 캡처합니다. 참조: [Databricks 감사 로그 전달 문서](https://docs.databricks.com/aws/en/admin/account-settings/audit-log-delivery) ```yaml 스키마: Databricks.Audit 설명: Databricks 감사 로그는 사용자 작업, API 호출 및 관리 변경 사항을 포함한 계정 및 작업 영역 활동을 캡처합니다. referenceURL: https://docs.databricks.com/aws/en/admin/account-settings/audit-log-delivery fields: - 이름: version 설명: 스키마 버전(예: 2.0) type: string - 이름: auditLevel 설명: 이벤트 범위(ACCOUNT_LEVEL 또는 WORKSPACE_LEVEL) type: string - 이름: timestamp required: true 설명: Unix 밀리초 단위의 이벤트 타임스탬프 type: timestamp timeFormats: - unix_ms isEventTime: true - 이름: orgId 설명: 조직 식별자 type: string - 이름: shardName 설명: 샤드 지정 type: string - 이름: accountId 설명: Databricks 계정 UUID type: string - 이름: sourceIPAddress 설명: 요청의 IP 주소 출처 type: string 표시자: - ip - 이름: userAgent 설명: 클라이언트 사용자 에이전트 문자열 type: string - 이름: sessionId 설명: 세션 식별자 type: string - 이름: requestId 설명: 고유 요청 식별자 type: string - 이름: serviceName required: true 설명: 작업을 수행한 서비스 type: string - 이름: actionName required: true 설명: 실행된 특정 작업 type: string - 이름: userIdentity 설명: 행위자에 대한 정보 type: object fields: - 이름: email 설명: 사용자의 이메일 주소 type: string 표시자: - 이메일 - 이름: subjectName 설명: 대체 사용자 식별자 type: string 표시자: - 사용자명 - 이름: requestParams 설명: 작업별 요청 매개변수 유형: json - 이름: response 설명: 응답 정보 type: object fields: - name: statusCode 설명: HTTP 응답 상태 코드 type: bigint - 이름: errorMessage 설명: 해당하는 경우 오류 메시지 type: string - 이름: result 설명: 작업 결과 데이터 유형: json - 이름: MAX_LOG_MESSAGE_LENGTH 설명: 최대 로그 메시지 길이(바이트) type: bigint ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/databricks.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.