監査の概要

Oracle Cloud Infrastructure Auditサービスでは、Oracle Cloud Infrastructureのサポートされるすべてのパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。現在、すべてのサービスが監査によるロギングをサポートしています。オブジェクト・ストレージ・サービスでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。監査サービスによって記録されるログ・イベントに含まれるのは、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールです。ログの中の情報には、次の情報が含まれています。

  • APIアクティビティが発生した時間
  • アクティビティのソース
  • アクティビティのターゲット
  • アクションのタイプ
  • レスポンスのタイプ

各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。監査サービスによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。

バージョン2監査ログ・スキーマ

2019年10月8日に、Oracleは監査バージョン2のスキーマを導入しました。これには、次の利点があります。

  • リソースの状態変更を取得します
  • 長時間実行中のAPIのトラッキングの向上
  • トラブルシューティング情報をログに記録します

時間の経過とともに新しいスキーマが実装されます。Oracleでは、引き続きバージョン1形式の監査ログを提供しますが、コンソールからバージョン1形式のログにアクセスすることはできません。コンソールにバージョン2形式のログのみが表示されます。ただし、すべてのリソースがバージョン2のスキーマを使用してログを生成しているわけではありません。バージョン2形式で生成しないサービスの場合、Oracleは、バージョン1のログをバージョン2のログに変換し、バージョン2のスキーマの情報が判別できない場合はフィールドを空白のままにします。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)またはREST APIを使用してアクセスできます。コンソールおよびAPIのための手順は、このガイド全体を通してトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。「コンソール」サインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められました。

API使用についての一般情報は、REST APIを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

管理者: 監査ログへのアクセスをグループに許可するポリシーの例は、「必要なIAMポリシー」を参照してください。監査ログの保持期間を変更するには、管理者グループのメンバーである必要があります。管理者グループとポリシーを参照してください。