EMR-3.27.0及后续版本,支持在Ranger WebUI上查看审计日志信息。本文以EMR-4.9.0版本(Ranger 2.1.0)为例,介绍如何查看Ranger审计日志信息。

前提条件

已创建集群,并选择了Ranger服务,详情请参见创建集群

使用限制

EMR-3.27.0及后续版本,支持在Ranger WebUI上查看审计日志信息。

操作步骤

  1. 访问Ranger WebUI,详情请参见访问Ranger UI
  2. 在Ranger WebUI页面,单击上方的Audit
    Audit
    默认显示 Access页签,支持您查看以下日志:
    • Access日志
      Access页签,可以查看对接Ranger的组件的访问信息。 Access
      重要参数描述如下。
      参数 描述
      Policy ID 访问所触发的Ranger Policy的ID。
      Policy Version 访问所触发的Ranger Policy的版本。
      Event Time 访问发生的时间。
      User 访问的用户。
      Service 访问的服务对接的Ranger Service名称以及类型。
      Resource 访问的数据信息。例如,Hive的库表列和HDFS的路径等。

      单击Query图标,可以查看具体的Query信息。

      Access Type 访问的种类。
      Permission 访问触发的权限。
      Result 访问的结果。
      Access Enforcer 访问触发的权限控制对象。例如ranger-acl(Ranger权限控制)和hadoop-acl(HDFS自带权限控制)等。
      说明 HDFS鉴权首先会查看HDFS自带权限控制(hadoop-acl),只有自带权限控制拒绝访问时才会去检验Ranger所配置的权限(ranger-acl)。您可以根据该字段判断权限控制是被hadoop-acl允许或拒绝的,还是被ranger-acl允许或拒绝的。
      Agent Host Name 访问触发的Ranger Plugin的Hostname。
      Client IP 访问者客户端的IP地址。
    • Admin日志
      单击 Admin页签,可以查看对接Ranger的组件的访问信息。 Admin
    • Login Sessions日志
      单击 Login Sessions页签,可以查看访问或登录Ranger Admin的日志信息。 Login Sessions
    • Plugins日志
      单击 Plugins页签,可以查看Ranger Plugin与Ranger Admin的交互信息,主要记录了Ranger Plugin同步Policy的时间信息。 Plugins
    • Plugin Status日志
      单击 Plugin Status页签,可以查看每个Ranger Plugin的状态信息。 Plugin Status
      重要参数描述如下。
      参数 描述
      Service Name Ranger Plugin对接的Ranger Service的名称。
      Service Type Ranger Plugin的Service种类。
      Host Name Ranger Plugin加载服务的Hostname。
      Plugin IP Ranger Plugin加载服务的IP地址。
      Last Update Policy最近的更新时间。
      Download Ranger Plugin最近的Policy下载时间。
      Active Ranger Plugin最近的活动时间。
    • User Sync日志
      单击 User Sync页签,可以查看Ranger UserSync服务同步用户的日志。 User Sync
      重要参数描述如下。
      参数 描述
      Sync Source 同步的用户的来源,包括UnixLDAP/AD
      Number Of New 同步新增的用户和用户组数量。
      Number Of Modified 同步修改的用户和用户组数量。
      Event Time 同步发生的时间,Unix用户同步通常为五分钟一次,LDAP/AD用户同步通常为一小时一次。
      Sync Details 用户同步的详细信息。