監査ログ・イベントの一括エクスポート

監査ログ・イベントを一括でエクスポートする方法について説明します。

2023年6月30日より後にリクエストを実行する場合は、LoggingサービスとService Connector Hubを使用して監査ログの一括エクスポートをリクエストします。詳細は、シナリオ: オブジェクト・ストレージへのログのアーカイブを参照してください。

このページでは、監査ログの一括エクスポートをリクエストする方法の前のプロセスの概要を示します。

ハイライト

管理者はバケットを完全に制御し、IAMポリシー・ステートメントを使用して他のユーザーにアクセスを許可できます。
エクスポートしたログには使用期限はありません。

ヒント

オブジェクト・ストレージを使用して、ログのアーカイブと削除を自動的に管理できます。オブジェクト・ライフサイクル管理の使用を参照してください。
エクスポートする必要があるすべてのリージョンをリクエストに指定します。一部のリージョンのみをリクエストした後で、他のリージョンの追加を決めた場合は、別のリクエストを作成する必要があります。
一括エクスポートを無効にするには、Oracleサポートに連絡してください。新しいログのバケットへの追加が停止され、監査ログは、定義した保持期間に応じてコンソールのみで使用できるようになります。

監査ログがエクスポートされたバケットにアクセスするには、管理者グループのメンバーである必要があります。管理者グループとポリシーを参照してください

ノート

2023年6月30日より後にリクエストを実行する場合は、ロギング・サービスおよびサービス・コネクタ・ハブを使用して監査ログの一括エクスポートをリクエストします。詳細は、シナリオ: オブジェクト・ストレージへのログのアーカイブを参照してください。

このワークフローを以前に使用した顧客の場合、テナンシの管理者グループのメンバーがMy Oracle Supportでチケットを作成し、次の情報を指定する必要があります。

例:

チケット名: Export Audit Logs - ACME
テナンシOCID: ocid1.tenancy.oc1.<unique_ID>
リージョン: US East (Ashburn), region identifier= us-ashburn-1; (US West (Phoenix)), region identifier = us-phoenix-1

ノート

My Oracle Supportチケットの処理が完了してログを使用できるようになるまで、5-10営業日かかることがあります。

この項では、受信するバケットとオブジェクトの命名規則について説明します。

Oracleサポートによって、次の命名形式を使用して監査ログ・エクスポート用のバケットが作成されます。

oci-logs._audit.<compartment_OCID>

例:

oci-logs._audit.ocid1compartment.oc1..<unique_ID>

重要

監査ログが生成されたコンパートメントのOCIDにコロンが含まれる場合、バケット名がOCIDと一致しません。Oracleがバケットを作成する際に、OCIDに含まれるコロン(:)をバケット名ではピリオド(.)に置き換える必要があります。

オブジェクトでは次の命名形式が使用されます。

<region>/<ad>/<YYYY-MM-DDTHH:MMZ>[_<seqNum>].log.gz

<region>は、監査イベントが生成されたリージョンを示します。
<ad>は、監査イベントが生成された可用性ドメインを示します。
<YYYY-MM-DDTHH:MMZ>は、オブジェクトにリストされる最初の監査イベントの開始時刻を示します。
[_<seqNum>]は、条件順序番号を示します。この数字がある場合、後から届いたイベントがあるか、オブジェクトが大きすぎて書き込めなかったことを意味します。順序番号は2から始まります。リストされた順序で、複数の順序番号を元のオブジェクトに適用します。

例:

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

ファイルには1行に1つの監査イベントがリストされます。詳細は、「監査ログ・イベントの内容」を参照してください。

ノート

監査では、監査ログのバージョン2のスキーマが導入されましたが、現在はバージョン1のスキーマのログについてのみ一括エクスポートを使用できます。