監査ログ・イベントの表示
監査ログ・イベントを表示する方法について説明します。
監査は、サポートされるサービスに対して実行されたAPI操作のレコードをログ・イベントのリストとして提供します。サービスは、テナント・レベルとコンパートメント・レベルの両方でイベントをロギングします。
監査でロギングされたイベントを表示する際に、テナンシまたはコンパートメントで発生した特定のアクティビティや、そのアクティビティを行ったユーザーに関心がある場合があります。問題になっているアクティビティを含むログ・イベントのリストを表示するには、何かが発生したおおよその日時とそれが発生したコンパートメントを把握する必要があります。時刻をグリニッジ標準時(GMT)の24時間形式で指定して、ログ・イベントをリスト表示します。必要に応じてローカル・タイムゾーンとのオフセットを計算してください。通常はAPIコールの15分以内に新しいアクティビティが既存リストに追加されますが、処理時間は異なる場合があります。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者がテナンシ管理者によってポリシーでセキュリティ・アクセス権が付与されたグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントでアクセスが機能するかをテナンシ管理者に確認してください。
管理者用: 次のポリシー・ステートメントによって、指定したグループ(Auditors)にテナンシのすべての監査イベント・ログを表示する権限を付与します。
Allow group Auditors to read audit-events in tenancyグループに特定のコンパートメント(ProjectA)のみの監査イベント・ログへのアクセス権を付与するには、次のようなポリシーを作成します。
Allow group Auditors to read audit-events in compartment ProjectAポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。監査のポリシーの詳細は、監査サービスの詳細を参照してください。
コンソールでの検索およびフィルタ処理
コンソールで「監査」に移動すると、現在のコンパートメントについて結果のリストが生成されます。監査ログはコンパートメントごとに編成されているため、特定のイベントを探す場合は、そのイベントが発生したコンパートメントを知っている必要があります。次のすべての方法でリストをフィルタ処理できます。
- 日付および時間
- リクエスト・アクション・タイプ(操作)
- キーワード
たとえば、ユーザーはサインイン試行が失敗していると報告し始めます。監査を使用して問題を調査する必要があります。日付と時間を調整して、このイベントが報告された少し前に開始する期間で、対応するエラーを検索します。対応するエラーやエラー前の似ている操作を探して、エラーの理由を関連付けます。
サービスは、イベントを処理した時刻にイベントをログに記録します。操作が発生した時刻から処理される時刻までに遅延が生じることがあります。
リクエスト・アクションによって結果をフィルタ処理して、関心がある操作を含むイベントのみに絞り込むことができます。たとえば、特定の時間枠内に削除されたインスタンスの情報のみが必要だとします。削除リクエスト・アクション・フィルタを選択して、削除操作を含むイベントのみを表示します。
キーワードを使用してフィルタ処理することもできます。キーワード・フィルタは監査イベント・フィールドの値と組み合わせると効果的です。たとえば、アカウントのユーザー名がわかっており、特定のタイム・フレーム内のそのアカウントのすべてのアクティビティのリストが必要だとします。キーワード・フィルタとしてユーザー名を使用して検索を実行します。
すべての監査イベントには同じフィールドが含まれるため、それらのフィールドの値を検索します。使用できる値をよく理解するには監査ログ・イベントの内容を参照してください。