操作场景
管理员可以通过审计中心的访问日志模块,跳转到Ranger UI Audit进行访问日志查询检索,达到对用户组件级高危操作的跟踪分析和异常定位的目的。
操作步骤
进入审计中心-访问日志,页面功能如下:
点击“查看访问日志”后,会跳转页面进行二次登录,如果集群配置了EIP/VIP地址,需要注意将访问链接的内网ip转换为EIP/VIP。
登录后可直接操作ranger audit页面如下,其中 Access中记录了用户对组件的操作内容和鉴权情况:
生命周期设置
组件审计日志默认保存在TBDS内部 ElasticSearch中间件,默认生命周期为365天,管理员可以修改生命周期(输入限制>0)。说明:
超出生命周期的审计日志将被清理,不会在审计中心界面中展现。
组件范围
TBDS当前版本已对接Ranger Audit进行日志审计的组件范围包括,审计日志默认不开启,如需开启可以在TM页面上修改对应组件的配置文件,参考开启审计日志:
| 组件名 |
| HDFS |
| Hive |
| Yarn |
| HBase |
| Spark |
| Trino |
| Kafka |
审计日志格式
| 日志文件名 | 日志内容格式 | 示例 |
| component.audit.[yyyy-MM-dd]T[hh-mm-ss.msZ].log | json格式 | {"logType":"RangerAudit","reason":null,"cluster":"","policyVersion":20,"agent":"hiveServer2","access":"INSERT","event_count":1,"repo":"hive-tbds-hguf87fe","sess":"ac52588e-e9cc-4148-9f66-b9263a08c5ce","reqUser":"hadoop","seq_num":1,"event_dur_ms":0,"reqData":"INSERT INTO TABLE sales PARTITION (year=2041, month=10) VALUES (1, 'ProductA', 100.0), (2, 'ProductB', 200.0), (3, 'ProductC', 300.0), (4, 'ProductD', 400.0), (5, 'ProductE', 400.0),(6, 'ProductF', 500.0),(7, 'ProductG', 600.0),(8, 'ProductH', 700.0)","result":1,"action":"update","id":"f2756e26-e6b2-412c-8a2d-f03b688d8bc2-0","zoneName":null,"agentHost":"tbds-172-16-0-29-dev","policy":71,"cliIP":"172.16.0.29","resource":"default/sales","resType":"@table","evtTime":"2024-10-28T15:59:41.575Z","tags":[],"repoType":3,"enforcer":"ranger-acl"} |