監査ログ・イベントの一括エクスポート

監査ログの一括エクスポートをリクエストすると、5-10営業日以内に、ログのコピーの作成とテナンシ内のバケットへの追加がOracleサポートによって開始されます。エクスポートには、指定したリージョンのログが含まれます。これはリクエストを行った後から始まり将来に続きます。

ハイライト

  • 管理者はバケットを完全に制御し、IAMポリシー・ステートメントを使用して他のユーザーにアクセスを許可できます。
  • エクスポートしたログには使用期限はありません。

    ヒント

    オブジェクト・ストレージを使用して、ログのアーカイブと削除を自動的に管理できます。オブジェクト・ライフサイクル管理の使用を参照してください。
  • エクスポートする必要があるすべてのリージョンをリクエストに指定します。一部のリージョンのみをリクエストした後で、他のリージョンの追加を決めた場合は、別のリクエストを作成する必要があります。
  • 一括エクスポートを無効にするには、Oracleサポートに連絡してください。新しいログのバケットへの追加が停止され、監査ログは、定義した保持期間に応じてコンソールのみで使用できるようになります。

必要なIAMポリシー

監査ログがエクスポートされたバケットにアクセスするには、管理者グループのメンバーである必要があります。管理者グループとポリシーを参照してください

監査ログのエクスポートのリクエスト

テナンシの管理者グループのメンバーがMy Oracle Supportでチケットを作成し、次の情報を指定する必要があります。

  • チケット名: Export Audit Logs - <your_company_name>
  • テナンシOCID
  • リージョン

例:

  • チケット名: Export Audit Logs - ACME
  • テナンシOCID: ocid1.tenancy.oc1.<unique_ID>
  • リージョン: US East (Ashburn), region identifier= us-ashburn-1; (US West (Phoenix)), region identifier = us-phoenix-1
ノート

My Oracle Supportチケットの処理が完了してログを使用できるようになるまで、5-10営業日かかることがあります。

バケットとオブジェクトの詳細

この項では、受信するバケットとオブジェクトの命名規則について説明します。

バケット名の形式

Oracleサポートによって、次の命名形式を使用して監査ログ・エクスポート用のバケットが作成されます。

oci-logs._audit.<compartment_OCID>

  • oci-logsは、このバケットがOracleによって作成されたことを示します。
  • _auditは、バケットに監査イベントが含まれることを示します。
  • <compartment_OCID>は、監査イベントが生成されたコンパートメントを示します。

例:

oci-logs._audit.ocid1compartment.oc1..<unique_ID>
重要

監査ログが生成されたコンパートメントのOCIDにコロンが含まれる場合、バケット名がOCIDと一致しません。Oracleがバケットを作成する際に、OCIDに含まれるコロン(:)をバケット名ではピリオド(.)に置き換える必要があります。

オブジェクト名の形式

オブジェクトでは次の命名形式が使用されます。

<region>/<ad>/<YYYY-MM-DDTHH:MMZ>[_<seqNum>].log.gz

  • <region>は、監査イベントが生成されたリージョンを示します。
  • <ad>は、監査イベントが生成された可用性ドメインを示します。
  • <YYYY-MM-DDTHH:MMZ>は、オブジェクトにリストされる最初の監査イベントの開始時刻を示します。
  • [_<seqNum>]は、条件順序番号を示します。この数字がある場合、後から届いたイベントがあるか、オブジェクトが大きすぎて書き込めなかったことを意味します。順序番号は2から始まります。リストされた順序で、複数の順序番号を元のオブジェクトに適用します。

例: 

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

ファイル形式

ファイルには1行に1つの監査イベントがリストされます。詳細は、「監査ログ・イベントの内容」を参照してください。

ノート

監査では、監査ログのバージョン2のスキーマが導入されましたが、現在はバージョン1のスキーマのログについてのみ一括エクスポートを使用できます。