監査の概要
サポートされているすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールをログ・イベントとして自動的に記録するOracle Cloud Infrastructure Auditサービスについて説明します。
現在、すべてのサービスが監査によるロギングをサポートしています。オブジェクト・ストレージ・サービスでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。監査サービスによって記録されるログ・イベントに含まれるのは、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールです。ログの中の情報には、次の情報が含まれています。
- APIアクティビティが発生した時間
- アクティビティのソース
- アクティビティのターゲット
- アクションのタイプ
- レスポンスのタイプ
各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。監査サービスによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。
バージョン2監査ログ・スキーマ
2019年10月8日に、Oracleは監査バージョン2のスキーマを導入しました。これには、次の利点があります。
- リソースの状態変更を取得します
- 長時間実行中のAPIのトラッキングの向上
- トラブルシューティング情報をログに記録します
時間の経過とともに新しいスキーマが実装されます。Oracleでは、引き続きバージョン1形式の監査ログを提供しますが、コンソールからバージョン1形式のログにアクセスすることはできません。コンソールにバージョン2形式のログのみが表示されます。ただし、すべてのリソースがバージョン2のスキーマを使用してログを生成しているわけではありません。バージョン2形式で生成しないサービスの場合、Oracleは、バージョン1のログをバージョン2のログに変換し、バージョン2のスキーマの情報が判別できない場合はフィールドを空白のままにします。
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
API使用についての一般情報は、REST APIを参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。
管理者: 監査ログへのアクセスをグループに許可するポリシーの例は、「必要なIAMポリシー」を参照してください。監査ログの保持期間を変更するには、管理者グループのメンバーである必要があります。管理者グループとポリシーを参照してください。